卡巴斯基实锤拼多多App恶意代码

卡巴斯基实验室的安全研究人员证实拼多多App包含恶意代码，此前谷歌已将其从官方应用商店PlayStore中下架。在对恶意代码的首批公开报告之一中，卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。它测试了通过中国本地应用商店分发的应用版本——包含来自华为、腾讯和小米的应用市场。

卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用，该公司表示，它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。

这些结论在很大程度上与过去几周其他研究人员在网上发布的结论一致，尽管彭博新闻社尚未证实早期报道的真实性。

除了卡巴斯基实验室，另外一家安全公司Lookout的研究人员对非GooglePlay版本的拼多多应用的分析也确认了独立安全研究机构DarkNavy的指控。初步分析显示，至少两个非Play版本的拼多多应用利用了漏洞CVE-2023-20963。

该漏洞是Google在3月6日公开的，利用该漏洞可以提权，而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。Lookout的研究人员分析了拼多多在3月5日前发布的两个版本，都包含了利用CVE-2023-20963的代码。这两个版本都使用了与拼多多GooglePlay版本相同的密钥签名。

目前没有证据表明PlayStore和苹果AppStore的版本含有恶意代码，但通过第三方市场下载的Android用户则没有那么幸运了，鉴于拼多多有数亿用户，受影响的用户数量可能是非常惊人。