本月早些時候，獨立安全研究機(jī)構(gòu) DarkNavy 發(fā)表文章披露，國內(nèi)一家互聯(lián)網(wǎng)巨頭的 APP 利用了 Android 系統(tǒng)漏洞提權(quán)使其難以卸載。這家巨頭之后確認(rèn)為拼多多。

上周一 Google 將拼多多的多個應(yīng)用標(biāo)記為惡意程序。拼多多則發(fā)表聲明，表示強(qiáng)烈反對一位匿名獨立安全研究員關(guān)于其應(yīng)用惡意的推測和指控。

現(xiàn)在，安全公司 Lookout 的研究人員對非 Google Play 版本的拼多多應(yīng)用的分析確認(rèn)了 DarkNavy 的指控。初步分析顯示，至少兩個非 Play 版本的拼多多應(yīng)用利用了漏洞? CVE-2023-20963。該漏洞是 Google 在 3 月 6 日公開的，利用該漏洞可以提權(quán)，而且整個過程不需要用戶交互。兩周前修復(fù)補(bǔ)丁才提供給終端用戶。

Lookout 的研究人員分析了拼多多在 3 月 5 日前發(fā)布的兩個版本，都包含了利用? CVE-2023-20963 的代碼。這兩個版本都使用了與拼多多 Google Play 版本相同的密鑰簽名。

目前沒有證據(jù)表明? Play Store 和蘋果 App Store 的版本含有惡意代碼，通過 Google 和蘋果官方商店下載的拼多多應(yīng)用是安全的。

但通過第三方市場下載的 Android 用戶則沒有那么幸運(yùn)了，鑒于拼多多有數(shù)億用戶，受影響的用戶數(shù)量可能是非常驚人。