2022 年最“不可赦”漏洞,pdd 反序列化违规提权（深蓝洞察）

近日，据南方日报报道，国内知名独立数据安全研究服务机构深蓝 DarkNavy 日前发布一则报告称，有知名互联网厂商通过挖掘安卓厂商 OEM 代码中的反序列化漏洞攻击用户手机，窃取竞争对手软件数据，以防止自身被卸载。

一石激起千层浪，消息随后被各路大牛和广大网友热议。通过仔细对比和验证，网友发现该软件竟然是拼多多。而其利用的则是 Android 系统的漏洞。

DarkNavy 将这个漏洞称为「 2022 年度最“不可赦”漏洞」，并将其刊登在了《 2022 年度十大安全漏洞与利用》报告的第十篇。

说实话要找到完整的漏洞提权方法并实现，不是一件容易的事，但拼多多做到了。

为此，DarkNavy 报告和不少开源社区都追溯并还原了拼多多的具体操作。首先拼多多利用了多个手机厂商 OEM 代码中的反序列化漏洞提权，提权控制手机系统之后，拼多多即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息，包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等。

来源： https://www.chiphell.com/thread-2501143-1-1.html