拼多多是流氓软件？卡巴斯基实锤拼多多恶意代码！

最近，卡巴斯基实验室的研究人员发现拼多多安装程序存在恶意代码，可以通过攻击用户手机系统，进行欺诈、阻止卸载、信息收集和感染等行为。详细的分析报告可以在GitHub上查看用户davincifans101的报告。据悉，拼多多持续挖掘利用手机厂商和云服务的漏洞，用于获客、用户留存、规避隐私合规监管。通过突破系统限制，大量触达用户促进交易转换，同时也能获得 5 千万新用户，节省约 1 亿元 App 推广费用。

报告概览

在报告中，指出了拼多的主要恶意行为：

保活

诱导欺骗

防卸载

信息收集

攻击和感染

远程静默安装行为和链接伪造

报告中指出，拼多持续挖掘利用手机厂商和云服务的漏洞用于获客、用户留存、规避隐私合规监管，并突破系统限制以获得用户精准画像，还通过突破系统限制大量触达用户促进交易转换。

整个过程，如果以年为单位，估计拼多多通过强迫用户安装获得 5 千万新用户，节省了约 1 亿元 App 推广费用。同时，报告还指出，拼多多利用手机系统漏洞，获取大量用户隐私，进而使得自己更懂用户，进而获得 40% 的用户触达提升，带到 40% 的 GMV，换句话说就是通过用户的隐私信息，实施了更精准的 App 推广。

而报告中还提到，拼多多利用手机漏洞的行为，不仅利用了应用商量，还利用了微信浏览器、链接跳转漏洞的整体配合，实现通过用户社交分享达成远程静默安装，换句话说就是偷偷帮你转发链接给朋友，朋友点开链接，它就能在新用户手机上直接安装，完全不需要用户确认。

为了防止用户卸载应用，报告中还指出，拼多多利用安卓系统漏洞和 OEM 漏洞提升自己的权限为系统超级用户，然后安装后门长驻系统，让用户无法卸载应用、无法杀掉用户，甚至盗取其他应用的数据为自己所用。

报告后面还指出了拼多多具体的技术实现分析，有相关技术背景的读者可以进一步阅读。

小结

我们知道拼多多本身作为挑战淘宝的一个购物平台，是群众非常喜欢的一个平台。我们也知道拼多多在技术岗位招聘上能给力非常好的待遇，吸引了很多技术能力很强的人加入。

这次卡巴斯基的完整报告，明确指出拼多多的 App 在利用安卓系统的各种漏洞进行不合规甚至涉嫌违法的行为，实在令人唏嘘。

另一方面，有报告指出，拼多多发布带有这些恶意行为代码的 App 只针对国内应用商店，发布在谷歌应用商店的 App 是不含恶意行为代码的。这是不是内外有别？但随着卡巴斯基的报告出炉，谷歌应用商店还是将拼多多的 App 做了暂时下架的处理，目前国内的应用商店却暂时没有动静。

你还敢用拼多多吗？