卡巴斯基回应发现拼多多软件漏洞

一、核心漏洞发现

卡巴斯基实验室近期对拼多多APP的部分版本进行了深入分析，并发现了令人担忧的问题。

1. 恶意代码与权限提升

拼多多APP的部分版本被发现有恶意代码的存在。这些代码巧妙地利用了Android系统的某些已知漏洞，如CVE-2023-20963，进行权限提升操作。一旦获得更高的权限，这些恶意模块便可以轻松地获取用户的通知、文件访问权限，甚至深入到微信聊天记录等敏感信息的解密分析。

2. 检测与命名

卡巴斯基实验室对这部分恶意代码进行了详细的标记和分类，将其归类为后门程序，并标记为“HEUR:Backdoor.AndroidOS.Pinduo.a”。

二、传播渠道与影响范围

1. 非官方渠道传播

受感染的拼多多版本并非只在某一特定平台存在，而是通过如华为、小米等中国本地应用商店进行分发。值得庆幸的是，Google Play和苹果App Store上的版本并未发现恶意代码。

2. 用户受影响情况

恶意代码的存在对广大安卓用户构成严重威胁。这些代码可以悄无声息地窃取用户的个人信息，如位置、联系人、短信等，同时在后台消耗大量流量和电量。更为严重的是，它们还可能阻止用户正常卸载拼多多APP。据初步估计，受影响的安卓用户数量可能高达数亿。

三、行业与平台反应

1. 谷歌下架行动

针对拼多多APP存在的恶意行为，谷歌于2025年2月果断采取行动，将其从应用商店下架，并建议用户尽快卸载。值得注意的是，这一行动主要针对的是非官方渠道的版本，但也无疑对拼多多的品牌声誉造成了一定的影响。

2. 安全机构协同验证

除了谷歌，其他安全机构如Lookout也对此事进行了独立分析，并证实了拼多多确实利用了CVE-2023-20963这一漏洞。而且，这些恶意版本的代码签名与官方版本如出一辙，进一步支持了卡巴斯基的结论。

四、拼多多的后续动态

在此事件被曝光后，卡巴斯基实验室明确表示，他们并非第一个发现这一问题的机构，而是针对已存在的恶意版本进行检测和提醒。至于拼多多方面，截至卡巴斯基回应发布时，尚未对相关指控做出任何公开回应。这一事件不仅引发了广大用户的高度关注，也成为了安全领域的一大热点话题。拼多多的处理方式及其后续动作将直接影响到其在用户心中的形象和信誉。