卡巴斯基证实拼多多App包含恶意代码谷歌将其下架

据彭博社昨日报道，卡巴斯基实验室安全研究人员证实，谷歌将拼多多应用程序从官方应用商店 Play Store 下架后，该应用程序包含恶意代码。

在有关恶意代码的首批公开报告之一中，卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。 它测试了通过中国本地应用商店分发的应用程序版本，包括来自华为、腾讯和小米的应用程序版本。

卡巴斯基与彭博社分享的调查结果是独立安全团队上周对触发谷歌行动和恶意软件警告给出的最明确的解释之一。 这家网络安全公司在揭露历史上一些最大规模的网络攻击中发挥了作用，该公司表示，它发现证据表明拼多多的早期版本利用系统软件漏洞安装后门，并未经授权访问用户数据和通知。 。

这些结论与过去几周其他研究人员在网上发表的结论基本一致，尽管彭博新闻社尚未证实早期报告的真实性。

目前微博上关于此事的讨论很热。

网络安全专家@也对此事表达了自己的看法：

除了卡巴斯基实验室之外，另一家安全公司的研究人员对拼多多应用程序的非Play版本的分析也证实了独立安全研究机构的指控。 初步分析显示，至少有两个非Play版本的拼多多应用利用了漏洞CVE-2023-20963。

该漏洞于 3 月 6 日披露，无需用户交互即可被利用来升级权限。 该修复仅在两周前提供给最终用户。

研究人员分析了3月5日之前发布的拼多多的两个版本，这两个版本都包含利用CVE-2023-20963的代码。 两个版本都使用与 Play 版本相同的密钥进行签名。

目前没有证据表明Play Store和Apple App Store版本包含恶意代码，通过Apple官方商店下载的拼多多应用程序是安全的。 但通过第三方市场下载的用户就没那么幸运了。 鉴于拼多多拥有数亿用户，受影响的用户数量可能会非常惊人。

昨天，微信公众号此前报道的相关文章《国内某电商APP漏洞利用详情曝光：内嵌提权代码、动态分发Dex》收到拼多多母公司的投诉。 投诉类型为“内容侵犯声誉/商誉/隐私/肖像权”。不过，文章从头到尾都没有点名是哪家公司或应用程序。

:

3月28日，第一财经询问卡巴斯基发现拼多多App含有恶意代码的情况。

卡巴斯基回应第一财经：已收到安全研究员Igor评论称，拼多多APP部分版本含有恶意代码，利用已知漏洞进行权限升级、下载并执行额外恶意模块，部分版本还获得用户访问权限通知和文件。 我们的产品将这些版本检测为 HEUR:...a。 该应用程序的受感染版本是通过本地应用程序商店分发的。

卡巴斯基还表示，作为背景信息，我们没有发现这个恶意版本卡巴斯基下载，我们只是检测到它。 换句话说，包含恶意代码的版本并不是卡巴斯基发现的第一个版本。 但卡巴斯基确实在这个版本中检测到了恶意代码。