Huli 隨意聊 on Facebook最近這一兩天好像大家討論拼多多討論得滿熱烈，新聞也開始報了

那我也來寫一下吧

最早揭露拼多多做的事情的中國那邊的安全研究員，而且是在二月底的時候就已經揭露了，只是那時候似乎討論沒這麼多，而且拼多多後來開始在各處刪文

一個月後會再引起討論，應該是因為卡巴斯基也跳出來證實這件事情，並且 Bloomberg 也發佈了相關的文章，而拼多多也從 Google Play 上被下架

那拼多多的 App 到底做了什麼事情？

先講結論，應該比你想的還要嚴重

根據那些安全研究者的報告，拼多多的 App 裡面埋了一堆利用漏洞的程式碼，例如說以前 Android 可能某個版本有漏洞，拼多多就實作攻擊的程式碼，如果你的版本不是最新的，很有可能就會被攻擊

而且根據報告指出，似乎還有利用一些 0-day，也就是「還沒修復的漏洞」，所以就算你更新也沒用，照樣會被打

那被攻擊之後會怎樣？你就想成是中了木馬軟體好了，拼多多可以看到你其他 App 的資訊，可以沒經過你的允許看你的通訊錄、可以在你關閉 App 後又偷偷打開，總之可以做的事情超級多

原本這些操作都會被 Android 系統擋掉，它不會給你這些權限，而拼多多利用了系統的漏洞，所以在你毫不知情的狀況下，拿到了更高的權限，就可以偷偷做很多事，而你完全不知道

以前在 Android 比較低版本的時候，偷資訊似乎比較容易，但是現在的版本除非你有明確允許一些權限，不然 App 是看不太到什麼東西的

而拼多多是直接拿漏洞攻擊你的手機，藉由這種方式去做到這件事
所以我才會說比你想的還嚴重

打個比方，大概就像是你某天逛著電商平台，結果發現電商平台網站用漏洞植入木馬到你電腦裡，夠誇張了吧

一樣在留言會附相關參考資料

拼多多的相關技術資料，裡面有程式碼的分析跟之前揭露的一些文章：GitHub - davinci01010/pinduoduo_backdoor_recorder: 拼...

Inty News on Twitter03/05 #拼多多 打进美国后，计划3月13日在澳大利亚、新西兰上线抗議中國商家削價競爭 肯亞貿易商高喊「中國人必須離開」 - 自由財經03/28中國購物 App「拼多多」被指含惡意程式 Google 立即下架呼籲用戶卸載卡巴斯基曝「拼多多」竊用戶個資 或配合中共國內外大數據監控@Silentsubmarine - 被俄爹賣了0329Inty News on Twitter拼多多发现恶意软件 被谷歌下架

無法原諒！中國電商「拼多多」開賣女童冷凍肉；舉報三個月公安無視，又刷新了我對中國的認知@surname_chikamui - #中國日常 #器官買賣 割韭菜 學校變成器官農場，幼稚園是高官的...

中國「拼多多」購物App 竟能控制手機 - 國際 - 自由時報電子報

憂中國恐封閉金融市場 高盛 : 避險基金正積極出清中國股票 - 自由財經