cyber+attack

\r\n\t【文/观察者网 吕栋 编辑/张广凯】\r\n

\r\n\t它是中国最受欢迎的电商购物平台之一，每月向超过7.5亿用户销售各种商品。它成立仅仅3年就前往纳斯达克敲钟，成立6年就超越京东、淘宝，成为中国用户数最多的电商平台。\r\n

\r\n\t没错，它就是以“砍一刀”著称的拼多多。在电商界，拼多多的异军突起，很大程度上要仰仗于“百亿补贴”的撬动。但鲜为人知的是，拼多多快速获客背后，还有一个“隐秘的角落”。\r\n

\r\n\t近日，一位不愿具名、曾在拼多多工作过多年的网络安全专家向观察者网证实，拼多多在合法APP背后，曾通过一系列隐秘的黑客技术手段，持续挖掘利用手机厂商和云服务的漏洞，以达到伪造提升月活数、使用户无法卸载APP、攻击竞争对手和窃取用户隐私数据等目的。\r\n

\n\n

\n（资料图）\n

\r\n\t无独有偶的是，近期中美俄等多国的研究机构也均在发布报告，揭露拼多多挖掘利用漏洞、攻击主流手机系统、侵犯用户合法权益的行径。俄罗斯网络安全公司卡巴斯基确认了上述指控。\r\n

\r\n\t有网友还在GitHub上发布了详细的代码分析报告，直言拼多多将数亿用户设备变成被其完全控制用于牟利的僵尸网络，堪称史上最大规模的入侵，“甚至连NSA（美国国家安全局）都做不到”。\r\n

\r\n\t观察者网就上述指控向拼多多求证，对方未予证实。\r\n

\r\n\t大量的网络安全指控，让拼多多再度处于风口浪尖之上。不久前，这家电商巨头刚完成关键人事变动，董事长、联席CEO陈磊将专注于海外业务。而此次漏洞攻击风波，虽然尚未牵连到拼多多海外平台TEMU，但随着舆论的持续发酵，无疑会给TEMU的全球扩张蒙上一层阴影。\r\n

\n最“不可赦”的漏洞利用\n

\r\n\t拼多多这轮网络安全风波，其实从上个月就已开始发酵。当地时间3月21日，谷歌发言人在一份声明中称，Google Play Protect在扫描应用商店的应用程序时发现，拼多多相应的安卓版本中包含恶意软件程序，基于安全考虑，将该版本暂时下架。\r\n

\r\n\t彼时根据外媒报道，拼多多否认包含恶意软件，并称谷歌下架的不止拼多多，还有其他几款应用。“从谷歌的一般性和非结论性回应来看，我们强烈否认拼多多应用程序是恶意的猜测和指控，”拼多多发言人表示，“我们正在与谷歌沟通以获取更多信息。”\r\n

\r\n\t但还没等谷歌调查出具体结论，3月28日，俄罗斯卡巴斯基公司的研究人员公开表示，拼多多APP的部分版本包含有恶意代码，可以利用已知的Android漏洞提权，下载并执行额外的恶意模块，破坏攻击用户手机系统，其中一些还获得了访问用户通知和文件的权限。\r\n

\r\n\t有网友还在GitHub上贴出一份20余页的《PDD恶意⾏为分析报告》。其中提到，拼多多持续挖掘利用手机厂商和云服务的漏洞，用于获客、用户留存、规避隐私合规监管、突破系统限制从而获取用户精准画像，以及突破系统限制大量触达用户促进交易转化。\r\n

\n\n

\n《PDD恶意⾏为分析报告》截图\n

\r\n\t这份报告以年为单位保守估算，拼多多通过强迫用户安装获得5000万的新增用户，节省了1亿APP推广费用﹔通过利用手机操作系统漏洞盗取大量用户隐私，从而更懂用户，并获得40%的用户触达提升，带动了40%的GMV（商品交易总额），给拼多多业务带来火箭般的助力。\r\n

\r\n\t针对该报告，观察者网联系了一位曾在拼多多工作多年、职位达到总监级的网络安全专家。他表示，这份网传报告所述内容基本属实，但率先发布报告指控拼多多的机构，其实在中国。\r\n

\n\n

\n《PDD恶意⾏为分析报告》截图\n

\r\n\t根据这位专家的提示，观察者网查到了一份名为《2022年度最“不可赦”漏洞》的报告。该报告由独立安全研究服务机构“DarkNavy”发布，主体为达酷诺威（上海）科技有限公司。\r\n

\r\n\t这份发布于今年2月28日的报告并没有直接点名“拼多多”，但其中提到，2022年，有知名互联网厂商竟打破底线，持续挖掘新的安卓OEM相关漏洞，在其公开发布的APP中实现对目前市场主流手机系统的漏洞攻击，“本该守护安全的白帽，却被滥用成侵害用户的黑帽!”\r\n

\r\n\t根据DarkNavy指控，这家互联网厂商在自家看似无害的APP里，通过一系列隐蔽的黑客技术手段，达到了“隐蔽安装，提升装机量”、“伪造提升DAU/MAU”、“用户无法卸载”、“攻击竞争对手APP”、“窃取用户隐私数据”、“逃避隐私合规监管”等各种涉嫌违规违法的目的。\r\n

\r\n\t虽然DarkNavy的报告没有直接点名，但前述匿名网络安全专家告诉观察者网，这份报告所指的互联网厂商就是拼多多，而拼多多利用漏洞、主动挖掘漏洞，在业内已经是公开的秘密。\r\n

\n\n

\n图源：DarkNavy\n

\n“我们从未见过这样的事情”\n

\r\n\t“我们从未见过，像这样的主流应用程序试图升级他们的特权，以访问他们本不应该访问的内容。这非常不寻常，甚至对拼多多来说是非常致命的。”芬兰网络安全公司WithSecure的首席研究官Mikko Hyppönen说道。\r\n

\r\n\t在中俄研究机构相继发布拼多多相关报告后，美国媒体CNN近日也采访了数位网络安全专家，试图找出拼多多利用安卓操作系统漏洞的证据。有专家接受采访时直言，虽然很多公司都在未经同意收集用户数据，但拼多多已将侵犯隐私和数据安全的行为提升到了新的水平。\r\n

\r\n\t根据CNN援引拼多多现任员工的爆料，拼多多在2020年成立了一个由约100名工程师和产品经理组成的团队，负责挖掘安卓手机漏洞，开发利用这些漏洞的方法，并将其转化为利润。\r\n

\r\n\t这位匿名员工和所谓消息人士还透露，为了降低暴露风险，拼多多最初避开了北京、上海等特大城市的用户，只针对农村地区和小城镇的用户。通过收集大量用户活动数据，拼多多能够全面了解用户的习惯、兴趣和偏好，这使该公司能够改进其机器学习模型，以提供更个性化的推送和通知，吸引用户打开应用程序并下订单。\r\n

\n\n

\nGMV从0到1000亿，京东用了10年，阿里用了5年，而拼多多只用了2.25年\n

\r\n\t观察者网就CNN的报道联系了前述网络安全专家，他表示，报道所述与现实情况相差不大，甚至有过之而无不及。这位专家透露，CNN提到的百人工程师团队，归属于拼多多的用户增长部门，另外还有一个十余人的团队属于安全部门，“两边都在挖漏洞，可以理解成赛马。”\r\n

\r\n\t根据报道，CNN联系了亚洲、欧洲和美国的6个网络安全团队，他们对2月下旬在中国应用程序商店发布的6.49.0版拼多多应用程序进行了独立分析。与中俄机构的研究报告类似，他们也发现了旨在实现“特权升级”的代码，并称这是一种网络攻击（cyberattack），利用易受攻击的操作系统，获得不应该拥有的更高级别的数据访问权。\r\n

\r\n\t“我们的团队对这些代码进行了逆向工程，我们可以确认它试图升级权限，试图访问正常应用程序在安卓手机上无法做到的事情。”Mikko Hyppönen表示，该应用程序能够继续在后台运行，并防止自己被卸载，这使得它的月活跃用户数得以提高。他补充称，拼多多还能够通过跟踪其他购物应用程序的活动来监视竞争对手，并从中获取信息。\r\n

\n专门针对安卓系统，开除拒绝违法攻击的天才黑客？\n

\r\n\t在中国，大约四分之三的智能手机用户使用安卓系统，其余市场基本上被iPhone占据。\r\n

\r\n\t美国应用安全初创公司Oversecured的创始人Sergey Toshin表示，拼多多的恶意软件专门针对不同的安卓操作系统。包括三星、华为、小米和OPPO在内的主流安卓手机厂商，都在基于开源安卓系统开发自己的系统，以便为自己的设备添加独特的功能和应用程序。\r\n

\r\n\tToshin发现，拼多多利用了大约50个安卓系统漏洞。他表示，大多数漏洞都是为原始设备制造商（OEM）代码定制的，这些代码往往比安卓开源项目更少被审查，也更容易出现漏洞。另外，拼多多还利用了一些安卓开源项目的漏洞，包括Toshin在去年2月标记的谷歌漏洞。\r\n

\r\n\t“我从没见过这样的东西，它就像一种‘超级膨胀’，” Toshin表示，恶意软件漏洞允许拼多多在未经用户同意的情况下访问用户的位置、联系人、日历、通知和相册。他补充称，利用这些漏洞还能够改变系统设置、访问用户的社交网络账户和聊天记录。\r\n

\r\n\t这一发现和DarkNavy的报告类似，该机构曾提到，在提权控制手机系统之后，拼多多APP即开启一系列违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息，甚至路由器信息等）。\r\n

\n\n

\nDarkNavy技术分析和截图\n

\r\n\t面对漏洞攻击，手机厂商就束手无策吗？观察者网就此联系了小米等手机厂商，但截至发稿，尚未得到明确回复。不过前述安全专家表示，手机厂商也是受害者，“千日做贼，千日防贼”。曾有手机厂商投诉过拼多多，但拼多多会威胁“不卖他们手机”，或者不结算广告费。\r\n

\r\n\t观察者网查询发现，其实早在两年前，拼多多涉违法网络攻击一事就曾引发舆论关注。\r\n

\r\n\t彼时有媒体报道，天才黑客Flanker疑因拒绝做黑客攻击业务，被拼多多强行辞退。根据公开资料，Flanker原名何淇丹，毕业于浙江大学少年班和香港科技大学，是蓝莲花战队早期核心成员，前腾讯科恩实验室高级研究员，前拼多多安全团队总监和资深安全专家。\r\n

\n\n

\n图源：知乎\n

\r\n\t19岁时，Flanker入职拼多多。但2020年底，在Flanker入职拼多多即将满五年时，他却在微博上宣布了已从拼多多离职，并称“我应得而该司抵赖不给的各种权益已委托律师处理”。随后不久，Flanker在微博中连发了三条破坏计算机系统罪的科普，引发了网友们的猜想。\r\n

\r\n\t不仅如此，当时还有很多网络安全的业内人士出来为Flanker鸣不平。\r\n

\r\n\t例如，腾讯KEEN团队创始人、业内人称“大牛蛙”的王琦在朋友圈透露，早在2019年，Flanker就曾聊过拼多多管理层强制给他违法任务并在他拒绝后百般刁难；“这次Flanker离职前，再度因拒绝做违法攻击而被拼多多刁难时又与我沟通，拼多多的肆无忌惮再次让我吃惊。”\r\n

\n\n

\n网传王琦朋友圈截图\n

\r\n\t观察者网查询企查查发现，DarkNavy的微信运营主体达酷诺威（上海）科技有限公司，实控人名叫王琦，简介显示，他是碁震云计算（Keen Cloud）创始人、CEO，安全技术专家，而碁震云计算的实控人是马化腾。换句话说，此次揭露“知名互联网厂商”漏洞攻击的和为Flanker鸣不平的，是同一个王琦。\r\n

\r\n\t观察者网试图联系DarkNavy，对方表示，暂不接受采访。\r\n

\n解散漏洞挖掘团队，海外发展蒙阴影\n

\r\n\t在被多国研究团队揭露后，CNN援引的两位专家称，拼多多于3月5日发布了其应用程序的更新版本6.50.0，删除了这些漏洞。\r\n

\r\n\t据拼多多消息人士透露，在APP更新两天后，拼多多解散了挖掘漏洞的工程师和产品经理团队。第二天，团队成员发现自己被阻挡在拼多多定制的工作场所通讯应用程序Knock之外，并且无法访问内网上的文件。\r\n

\r\n\t所谓消息人士表示，拼多多工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销，团队中的大部分人都被转移到拼多多海外平台Temu工作。据该人士透露，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。\r\n

\n拼多多赴美上市\n

\r\n\t不过，这些消息人士还透露，一个由大约20名网络安全工程师组成的核心团队仍留在拼多多，他们专门从事发现和利用漏洞的工作。Oversecured的Toshin表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。\r\n

\r\n\t在3月下架拼多多APP时，谷歌方面曾表示，同样由拼多多运营的购物应用程序TEMU没有受到影响，仍然可以下载。但铺天盖地的拼多多漏洞攻击报告，难免让TEMU受到更多关注，该应用目前在美国下载排行榜上高居榜首，在其他西方市场也在快速扩张。\r\n

\r\n\t美媒CNN报道指出，虽然TEMU暂时没有受到牵连，但拼多多涉嫌的行为，可能为其姊妹应用的全球扩张蒙上阴影。\r\n

\r\n\t就在漏洞攻击引发巨大风波之际，拼多多宣布重大人事调整，80后赵佳臻新晋联席CEO，负责国内业务，原来国内国外一把抓的董事长、CEO陈磊，则专注挂帅海外。在外界看来，将陈磊腾出来专管海外业务，体现了拼多多对海外业务的战略升级。\r\n

庄冒彭1661attack是什么意思?给我造个句吧! -
万詹变15733346524 ______ attack 英[ə'tæk]美[ə'tæk] n. 攻击;抨击;疾病发作vt. 攻击;抨击;动手干vi. 攻击;腐蚀 She defended herself from the attack.她保护自己以免遭受袭击.

庄冒彭1661chat about sex 和cybersex 有什么区别? -
万詹变15733346524 ______ 区别很大. 前者是讨论与性有关的话题,可以是网上聊天,也可能是促膝交谈. 后者是网络性爱,是指网络沟通过程中通过文字、声音、视频等方式使对方或者双方达到性高潮.

庄冒彭1661有没有节奏感很强,鼓点重,很有气势的背景音乐、如加勒比海盗那样的?!有的话请发给我[email protected] -
万詹变15733346524 ______ 《Beyond the Veil》 这个!前段不要被吓一跳 ,哥特+宗教+金属+eRa 《Enae Volare》 《Zito The Bubbleman》 《Divano》《 Ameno 》《Reborn》《Conquest Of Paradise》这些都是精推的

庄冒彭1661关于以cyber - 为前缀的英文单词有哪些? -
万詹变15733346524 ______ cybercafe网吧 cyberculture电脑化社会,电脑化文明,(对社会、政治、文化等的)电脑化影响 cyberholic指迷恋于计算机时空(Cyberspace)的人,数字式瘾君子 cybernate 1. 使受电脑控制,使电脑化cybernatic控制论的cybernetist控制论专家

庄冒彭1661数码相机中的cyber - shot是什么意思? -
万詹变15733346524 ______ cyber-是电子化、电脑化的意思,shot是拍摄的意思. cyber-shot其实就是“电脑数码拍照”的意思.

庄冒彭1661cyber monday week是什么意思 -
万詹变15733346524 ______ cyber monday week 网购周一之周 Cyber Monday是最近几年来,随着网络购物日渐普及之后,逐渐流行起来的一个名词.

庄冒彭1661cyber 做何解
万詹变15733346524 ______ cyber 不是一个单词,是个前缀,做＂网络上的....＂讲. 下面是剑桥字典的解释 cyber- prefix[前缀] involving, using or relating to computers, especially the Internet:

庄冒彭1661如何使用python编写poc,exp -
万詹变15733346524 ______ 然后来谈谈自己的看法:其实吧,无论乌云的Tangscan也好,知道创宇的Pocsuite也好,还有Beebeeto也好(Bugscan没写过,不是特别了解不过应该差不多),关于Web的Poc和Exp,都极度依赖于两个Python库.1. Requests : 模拟Web的...

庄冒彭1661attack的用法?
万詹变15733346524 ______ ATTACK可指用武力“攻击”,也可以指用语言“抨击”,还可表示“开始处理,着手”的意思.

庄冒彭1661使命召唤7的作弊码? -
万詹变15733346524 ______ 1 解压游戏,并打好小旅鼠大大的破解补丁后,就可以玩了.2 进入游戏,进入＂Options＂ ,根据自己计算机硬件水平设置好图形和声音的设定,以及自己用熟的案件的设定.本条非常重要,因...