近日，研究机构“DarkNavy”发文披露某国产APP恶意利用系统漏洞，非法提权获取用户隐私及争对手商业信息，远程遥控用户设备，并阻止用户卸载自身APP。据信该APP指的是“拼多多”。

【资料图】

文章中提到，该APP利用Android系统的Parcel序列化与反序列化不匹配漏洞，能够实现0Day/NDay攻击，绕过系统校验，获取系统级StartAnyWhere能力，提升自身权限。

提权控制手机系统之后，该APP随即进行了一系列的非法违规操作，绕过隐私监管规则，开始手机中的用户隐私信息，包裹WiFi信息、位置信息、社交媒账号资料、基站信息、路由器信息，甚至能够绕过系统为应用设置的沙箱规则，采集竞争对手软件的信息。

在此之外，该APP还会改写系统配置文件，实现为自己应用的保活，修改用户桌面设置隐藏自身icon，欺骗用户防止自身被卸载等。最后，该APP甚至能够通过覆盖动态码文件来劫持其他应用注入后门执行代码，实现更加隐蔽的后台长期保活，并利用“云控开关”远程遥控应用非法行为，让检测与监管无从下手。

有软件行业人士发现，解压拼多多APP之后就能够在asset中找到AliveBaseAbility提权代码。不过在该新闻发酵之后，拼多多在更新之后删除了这段代码。

许多拼多多用户在知乎平台反映，拼多多应用会通过漏洞将自己图标替换成widget（桌面小组件），删除或隐藏（通过变透明、伪装成天气应用等）应用icon，以此逃避卸载，也有用户发现，在桌面长按icon触发的次级菜单中，拼多多能够删除系统级别的卸载按钮。

据悉，Android13中已经修复了Pa0rcel机制漏洞，能够杜绝绝大部分此类黑客攻击。不过鸿蒙和未升级到Android13的设备用户，仍然处于被该漏洞攻击的危险之中。

图片来源于网络

关键词：