某国产电商 APP 利用 Android 漏洞细节曝光:内嵌提权代码、动态下发 Dex


近日,独立安全研究机构 DarkNavy 发表文章披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道称,该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)

之后,该 App 利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。

最终,该互联网厂商通过上述一系列隐蔽的黑客技术手段,在其合法 App 的背后,达到了:

  • 隐蔽安装,提升装机量

  • 伪造提升 DAU/MAU

  • 用户无法卸载

  • 攻击竞争对手 App

  • 窃取用户隐私数据

  • 逃避隐私合规监管

等各种涉嫌违规违法目的。

经网友讨论,该 APP 有一个典型的特性就是安装后在桌面上创建快捷方式,用户实际上卸载或删除的只是快捷方式,并非其本体,无法卸载的同时,该 APP 利用技术手段伪造提升 DAU/MAU,攻击竞争对手的 APP。

下图是网友在论坛发布的帖子,他表示自己亲人的安卓手机无法卸载该电商APP:

前日,有人在 GitHub 上公布了完整的漏洞提权方法,以及实现细节。据称该 APP 的 APK 内嵌多个用于提权的漏洞利用代码,以及动态下发 Dex 分析。

详情查看:https://github.com/davinci1010/pinduoduo_backdoor


相關推薦

2023-08-10

巴斯基称拼多多 App 包含恶意代码 某国产电商 APP 利用 Android 漏洞细节曝光:内嵌提权代码、动态下发 Dex

2022-03-09

洞利用和补丁2022-02-21:在 Google Pixel 6 上复现错误,并向 Android 安全团队发送错误报告2022-02-21: 按照 Linus Torvalds、Willy Tarreau 和 Al Viro 的建议,将补丁发送到 LKML(不含漏洞详细信息)2022-02-23:发布包含错误修复的 Linux 稳定版

2023-09-06

:   BeikeShop是什么?    一款开源好用的跨境电商系统!   ✦✦ 一、BeikeShop跨平台APP的优势 BeikeShop跨平台APP 主要有以下优势: 1. 高产出 低投入:仅需少量人力,即可实现同类型商城项目开发,节省开发成

2023-11-07

Tinker 是腾讯开源的 Android 热解决方案库,它支持在不重新安装 apk 的情况下对 dex、library 和 resources 进行更新。Tinker v1.9.14.26 现已发布,具体更新内容如下: Bugfix & ChangeLog 改用新的资源注入方式避免patch加载后多消耗两份

2024-01-21

Tinker 是腾讯开源的 Android 热解决方案库,它支持在不重新安装 apk 的情况下对 dex、library 和 resources 进行更新。Tinker v1.9.14.26.3 现已发布,具体更新内容如下: Bugfix & ChangeLog 回退: 改用新的资源注入方式避免patch加载

2023-09-13

销产品购买费用,否则不予报销(提供发票)。 漏洞利用要求 官方最新稳定版ROM 浏览器版本通过小米应用商店更新到最新版本 保持默认的系统设置,或是正常使用手机的设置,无任何特殊改动 不能申请和使用Accessibi

2023-05-13

谷歌在 I/O 2023 开发者大会上展示了 Android 14 的新功能,展示的新功能主要集中在个性化方面: 增强的锁屏个性化 Android 14 的一项突出功能是锁屏的增强自定义选项,用户可以更好地控制锁屏时钟等组件,从选择字体、颜色、

2022-03-08

议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Focus 97.3.0、Thunderbird 91.6.2。

2024-11-01

功能为核心,但被更具娱乐性的安卓系统所淘汰。随着 Android 和 iOS 的发展已达到顶峰,这也许意味着它们将开始走下坡路,而新的事物 —— 鸿蒙系统已经出现。” 裴云飞认为,很多安卓程序员现在都转型成为了鸿蒙程序员,

2023-05-24

在为技术人员、设计师和创作者提供便利。无论您是开发电商平台、社交媒体推广工具,还是需要制作个人创作或宣传海报,Fastposter都能满足您的需求。 主要特点: 快速集成:Fastposter提供了多种语言的调用代码,包括Java

2024-06-25

S 应用设计指南。 指南中提到,开发者需要熟悉并充分利用 2in1 设备特性,这些特性包括硬件特征、使用方式、交互方式、使用场景等。 这份指南展示了效率型、沉浸型等多种应用 UI 界面示范,同时提供了多个界面案例,包

2023-08-25

李跳跳”是一款利用无障碍权限进行跳过 APP 开屏广告的 Android 辅助应用,无需联网,免费使用。 今日凌晨,“李跳跳”作者在公众号宣布无限期停止更新,原因是收到了某集团律师函,对方称“李跳跳” APP 涉嫌不正当竞争,

2024-08-02

实际应用场景 智能客服系统: 想象一下,用户在某电商平台上遇到问题,联系了智能客服。Mem0 能够记住用户之前的所有互动历史,包括购买记录、过去的问题和反馈。在用户提出问题时,客服系统能够立即调用这些记忆

2023-07-10

架IoTOS-IM 。 应用框架基于uniapp,支持小程序、H5、Android和IOS。 前端组件采用uView,全端兼容的高性能UI框架。 1.2 功能介绍 目前已实现功能 后台系统通知 用户登录后通过 IoTOS-IM 及时下发 公告 与通知 实现国际