卡巴斯基实锤：拼多多存恶意代码！

作者 | 王瑞平

审校 | 云昭

重磅来袭！拼多多App中可能出现恶意代码了。3月28日，莫斯科卡巴斯基实验室的研究人员还证实了这一点。

据说，此种恶意代码能够破坏与攻击用户的手机系统。媒体从卡巴斯基实验室安全研究员Igor Golovin那里也获得了详细的回应：“拼多多App的部分版本包含恶意代码，能够利用已知的手机Android系统漏洞提权，下载并执行额外的恶意模块。其中的一些模块还获得了访问用户通知和文件的权限。”

Igor Golovin还回应说：“我们的产品将这些版本检测为HEUR:Backdoor.AndroidOS.Pinduo.a。该应用程序的受感染版本是通过一个本地应用程序商店分发的。”

“最终，我们不是发现了这个恶意版本，只是监测到它。换言之，含恶意代码的版本不是卡巴斯基第一个发现的。但是在该版本中卡巴斯基确实监测出了恶意代码。”Igor Golovin补充说。

卡巴斯基实验室是一家全球领先的网络安全公司，成立于1997年，总部位于俄罗斯莫斯科。实验室的使命是为个人和企业提供最先进的防御技术，保护他们免受网络威胁的侵害。就连卡巴斯基都揭露此事，看来是实锤了。

前有谷歌、后有卡巴斯基，大洋两岸都在实锤拼多多，可见其影响力之广。一句话来讲，此次的入侵，拼多多将4亿用户的设备掌控在手中，成为其牟利的工具，因此被看成是史上最大的入侵事件。

1、检测恶意代码

从技术层面分析，拼多多在其公开发布的主站App中捆绑精心加固过的漏洞利用代码，根据对App代码的逆向分析、策略分析与行业厂商反馈，该行为已经全量、全地域覆盖其用户，并包含上万个配置项的云端策略进行精细化控制，对其业务发展产生了巨大推波助澜的作用。此外，几天前，谷歌已经将该应用从其Android应用商店中暂停。

卡巴斯基对恶意代码的首批公开报告中具体描述出了该应用程序是如何提升自身权限从而破坏用户隐私和数据安全的。为进一步验证结果的准确性，它还测试了通过中国本地应用商店分发的拼多多版本，包括：华为技术有限公司、腾讯控股有限公司和小米公司等运营着的中国应用程序商店。

此外，该公司还表示，它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问证据。

除了卡巴斯基实验室，另外一家安全公司Lookout的研究人员对非Google Play版本的拼多多应用的分析也显示，至少两个非Play版本的拼多多应用利用了漏洞CVE-2023-20963。

2、用户：失望、将不会继续使用

拼多多安全事件频发可能会为某些事件火上浇油。尤其是美国，早已对中国应用程序数据不安全的言论火上浇油。

虽然拼多多App主要在中国使用，但是，拼多多的另一款销售生活用品的App——Temu在过去几个月在苹果公司美国应用商店中下载次数最多。幸运的是，它还尚未像ByteDance Ltd.的TikTok那样成为立法者审查的焦点。

从用户的角度，第一感受就是失望。他们一直都是拼多多的忠实粉丝，在平台上购买便宜的商品，从不曾想过看似无害的购物App背后会隐藏恶意代码，背后窃取用户的隐私。

因此，拼多多应该对此事负全责，并立即采取措施，清除所有的恶意代码，保护用户的安全。同时，它也应该向所有用户公开道歉，并赔偿他们因为这次事件而造成的损失。

如果拼多多不能做到这些，很大一部分忠实粉丝将不会继续使用这款App而转向其它既安全又可靠的平台。

3、证据：Github上公布了恶意行为报告

Github上公布了恶意行为报告的PDF版本。它从技术层面详细分析了拼多多是如何侵害用户隐私行为的，相当于提供了更确凿的证据。

报告中详细的披露出，拼多多持续挖掘利用手机厂商和云服务的漏洞用于获客、用户留存、规避隐私合规监管和突破系统限制，从而获取了 用户精准画像、突破系统限制，⼤量触达用户促进交易转化。

以年为单位保守估计，拼多多通过强迫用户安装获得五千万的新增用户，节省了1亿App推广费用，并通过利用手机操作系统漏洞盗取大量用户隐私，从⽽更懂用户，并获得40%的用户触达提升，带动40%的GMV。

回望这些⼿段，是否终于明白了拼多多曾经的爆炸式增长神话的真正原因之⼀？这些非法⾏为，直⾄被曝光的时间，都在给其业务带来火箭般的助力。

报告中指出，拼多多总体恶意⾏为围绕着获客、促交易、高日活三个目的，具体⾏为可分为保活、诱导欺骗、防卸载、信息收集、攻击感染五个⼤类。

其中，高日活目的主要由以下⼏类⾏为实现：保活行为、诱导欺骗⾏为、防卸载⾏为、攻击感染⾏为。而获客⽬的由以下⾏为实现：远程静默安装⾏为和链接伪造⾏为。

此类⾏为可⼤幅提⾼其App活跃度，实时推送⽤户促销消息、提升转化率，同时配合通过绕过系统和⼚商限制，对⽤户持续性推送消息吸引促进⽤户购买。

针对侵犯用户隐私的行为，部分网友表示国人可能有些司空见惯，只能被动防御。

笔者也希望，卡巴斯基和其他维护互联网安全的机构能够继续监督和揭露类似事件，将网络环境变得更加安全，让用户更加放心。

同时，在此建议所有网络用户需要提高警惕，不要轻信来路不明的应用程序，及时更新自己的防护软件，为自己的隐私和数据筑牢防火墙，勇敢对流氓软件说不！

参考资料：

​​https://www.toutiao.com/article/7215447942721700410​​

​​https://www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers#xj4y7vzkg​​

​​https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf​​