拼多多 (Pinduoduo) がバックドアを含んでいた話

2023 年、中国王手 E コマースアプリ 拼多多 (Pinduoduo) にバックドアが発見され、その後アプリは Play ストアからも一時削除されました。

E コマース専門家である劉華芳氏は、中国の SNS に、Pinduoduo アプリが脆弱性を利用し競合他社から利用者のデータを盗み、市場シェアを不正に獲得していると投稿

拼多多は 2015年に設立され、現在は PDD Holdings の最大の製品です。2021 年には 2 兆 4400 億人民元の流通総額を生み出し、同社は 2022 年 9 月、米国で姉妹会社の Temu を設立しています。2023 年 5 月、モンタナ州は政府機関内での Temu の使用を禁止しています。他にもウィグル強制労働防止法を遵守するためのコンプライアンスプログラムの建前すら維持していない等指摘されている Pinduoduo ですが、この記事では密かに埋め込まれた当時のバックドアについて抄訳や概要等を書き留めます。

---

2022 年の最も許されざる脆弱性

2022 年、あるインターネットベンダーが、市場で主流となっている新たな Android OEM 関連の脆弱性を用いて、広く一般に使用されているアプリにエクスプロイトを実装し続けています。

以下の技術分析とスクリーンショットは、数億代の携帯電話で起きている実際の事例から得られたもので、アプリで使用されたそのハッキング手法は、一見すると無害だが、非常に効果的な攻撃がバンドルされていました。

「「深蓝洞察」2022 年度最“不可赦”漏洞」から引用

近年発見された、Android Parcel にまつわるシリアライズ、デシリアライズ系の脆弱性を悪用し、0-day/N-day 攻撃を実現しています。システムを迂回し、特権レベルの StartAnyWhere 機能を獲得します。

これはこのアプリのエクスプロイトチェーンの核となる部分で、いくつかの Android 携帯電話メーカーの OEM コードにある脆弱性を利用し、第一段階として実行権限を昇格させます。昇格した後、アプリは本来の実行権限の枠を超え、システム全体を掌握します。

システム全体を掌握した後、このアプリは利用者の個人情報 (SNS アカウント情報、位置情報、Wi-Fi 情報、基地局情報、さらには LAN で利用するルーターの情報) などありとあらゆる情報を収集します。

「「深蓝洞察」2022 年度最“不可赦”漏洞」から引用

その後、このアプリはさらに別の攻撃手法を用い、携帯電話の OEM コードからエクスポートされているルートパスの FileContentProvider を使用し、システムの機密ファイルを読み書きします。そしてサンドボックスを突破し、アクセス許可を迂回、システムの主要設定ファイルを書き換え、利用者のデスクトップ (ランチャー) 設定を変更し自身を隠蔽し、アプリの削除すらも阻止します。

さらに、ほかのアプリをハイジャックしプログラムを上書きすることにより、バックドアを注入します。これによりより強力な永続性を獲得します。さらに悪質なことに、スパイウェアと同じくリモートコントロールのメカニズムを実装しており、悪意ある動作の開始や停止を遠隔から制御できるようになっています。もちろんもはや検知はできません。

総括

つまるところ、このインターネットベンダーは、上記の一連の秘密裏のハッキング技術によって、正規アプリに見せかけて以下の悪事をはたらいた可能性があります。

• ストアインストール数を水増しするための隠しインストール

• DAU / MAU を高めるための偽装工作

• 競合アプリへの攻撃

• 個人情報の窃盗

• プライバシーコンプライアンス規制の回避

さまざまな目的でアプリが法律に違反していた疑いが晴れることはありません。当時、多くの利用者は SNS 上で不可解なインストールやプライバシー漏洩、アンインストールできないなどの問題があると訴えていました。

翻訳元とより詳細な分析

• Google Suspends Chinese E-Commerce App Pinduoduo Over Malware (krebsonsecurity.com)

• 「深蓝洞察 (Darknavy)」2022 年度最 “不可赦” 漏洞 (qq.com)