hi 大家好，我是 DHL。公众号：ByteCode ，专注有用、有趣的硬核原创内容，Kotlin、Jetpack、性能优化、系统源码、算法及数据结构、大厂面经。

在上一篇文章中 某大厂如何利用系统漏洞，控制用户整个手机系统 分析了拼多多是如何将 普通应用权限提升到系统权限，收集更多用户的信息，甚至可以随意操控用户的手机，做更多他们想做的事，而且一旦安装，就很难删除，这简直就是手机界的 360。

我已经将相关违规的 dex 转成了 Java 文件，在后台回复：pdd，即可获取

被爆出之后，谷歌公司发言人埃德·费尔南德斯在一份声明中表示：“将拼多多 APP 下架是一种安全预防措施，谷歌的软件防护服务 Google Play Protect 将会阻止用户从谷歌商店中下载拼多多的 APP，并且已经下载了该 APP 的用户也会收到警告，提示他们进行卸载”

在继谷歌之后，俄罗斯知名的反病毒软件卡巴斯基也石锤它，该实验室的研究人员证实该拼多多安装恶意代码，操控用户的手机系统。

有安全专家表示，目前市面上所有的 App 都会收集用户的数据，但是他们从未看到过一个主流应用会像拼多多那样做，利用公开的系统漏洞，提升到系统权限，来收集更多的用户的数据。拼多多 “已经将侵犯隐私和数据安全的行为“ 提升到一个新的水平。

近期在脉脉上有匿名拼多多员工称，公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队，致力于挖掘 Android 手机漏洞。

最初不敢在全国范围内展开攻击，刚开始只是针对农村和小城镇的用户，避开北京上海之类大都市的用户，此举旨在降低被暴露的风险。

通过收集用户活动的大量数据，拼多多能全面了解用户习惯、兴趣和偏好，改进其机器学习模型，提供更具有个性化的推送通知和广告，吸引用户打开应用并下单。

现在被爆出来之后，拼多多于 2023.03.05 号发布的新版本删除恶意代码，两天之后拼多多解散了攻击团队，但是还保留了 20 核心骨干继续挖掘漏洞，第三天团队大部分成员，发现自己无法使用内部通讯工具，也无法访问公司内网。

消息称，虽然拼多多已经删除漏洞代码，但是底层代码任然存在，并且还继续保留了多名核心骨干继续挖掘漏洞。

对于旧版本，虽然拼多多关掉该功能，但是还能在后台继续运行，并追踪用户使用其他购物 APP 的活动，以便于监视竞争对手动态。除此之外，“拼多多” 还可在未经用户同意下，得知用户定位、手机联络人、行事历和相簿，还能更改系统设置，看到用户的聊天纪录。

有网友提问，这个开发行为，是部门自作主张，还是高层授意？

这个毫无疑问是高层授意的，因为在 2021 年的时候拼多多安全团队的负责人天才黑客 Flanker，只因不愿意做黑客攻击，被强行辞退，并且赖账应得到补偿奖金期权上亿。

Flanker，15 岁上浙大，22 岁斩获世界黑客大赛冠军

如此大佬都因拒绝黑客攻击被强制辞退，更何况团队其他成员呢，所以只能被迫营业了。

全文到这里就结束了，感谢你的阅读，坚持原创不易，欢迎在看、点赞、分享给身边的小伙伴，我会持续分享原创干货！！！

真诚推荐你关注我，公众号：ByteCode ，持续分享硬核原创内容，Kotlin、Jetpack、性能优化、系统源码、算法及数据结构、动画、大厂面经。

我开了一个云同步编译工具（SyncKit），主要用于本地写代码，然后同步到远程设备，在远程设备上进行编译，最将编译的结果同步到本地，代码已经上传到 Github，欢迎前往仓库 hi-dhl/SyncKit 查看。

近期必读热门文章

开源新项目

云同步编译工具（SyncKit），本地写代码，远程编译，欢迎前去查看 SyncKit

KtKit 小巧而实用，用 Kotlin 语言编写的工具库，欢迎前去查看 KtKit

最全、最新的 AndroidX Jetpack 相关组件的实战项目以及相关组件原理分析文章，正在逐渐增加 Jetpack 新成员，仓库持续更新，欢迎前去查看 AndroidX-Jetpack-Practice

LeetCode / 剑指 offer，包含多种解题思路、时间复杂度、空间复杂度分析，在线阅读