拼多多被指用恶意软件收集用户信息。照片:Reuters / Mike Segar
拼多多是中国最受欢迎的电商平台之一,其国际版Temu不久前也在加美上线。但是CNN采访到的网络安全专家说,拼多多通过攻击安卓系统漏洞提升自己获取信息的权限,有能力绕过手机安全设置读取用户私人信息,还可以擅自修改用户手机的系统设置。
网络安全专家认为,尽管许多手机应用程序都会在没有获得明确授权的情况下收集用户数据,但是拼多多对个人隐私和数据安全的侵犯达到了一个新高度。安卓系统安全专家托辛(Sergey Toshin)说,拼多多不经允许就可以看到用户的所在地点,联系人,日程安排,被推送的消息和相册,还可以进入用户的社交媒体账户,阅读聊天记录。我从未见过这样的事
。
他认为拼多多是迄今为止主流app中最危险的恶意软件
。
芬兰网络安全专家海普宁(Mikko Hyppönen)也表示,拼多多的行为是非常罕见的:我们还未见过一个主流app像这样致力于提升自己的权限,以获得他们本不应该获得的东西。
有六个来自欧亚和美国的网络安全团队参与了CNN的调查,其中三个仔细检验了拼多多6.49.0版本的代码。
目前没有证据显示已在加美上线的拼多多跨境电商平台Temu包含恶意代码,也没有证据显示拼多多把收集到的信息交给中国政府。但是一些美国议员担心,只要中国政府需要,就可以命令任何一家在国内经营的公司与之合作。
拼多多员工:曾有一个百人团队专门开发恶意软件
除了网络安全专家外,一些拼多多的前员工和在职员工也匿名接受了采访。
多名专家在拼多多app中发现了用于攻击安卓系统漏洞的软件。一个拼多多员工透露,拼多多在2020年成立了一个由大约一百名电脑工程师和产品经理组成的团队,专门挖掘安卓手机的安全漏洞,研究如何利用这些漏洞来增加客户和赢利。
为了避免被发现,拼多多一开始锁定的目标是居住在农村和小城市的用户。通过暗中收集关于用户活动的海量信息,公司可以全面掌握用户的习惯、兴趣和偏好,从而改进了机器学习模式,更精准地针对个人特征推送广告和消息,吸引更多用户下载拼多多app和下单。
用户的手机系统设置被悄悄修改后,一旦安装了拼多多app就很难卸载。
托辛等人发现,拼多多团队对安卓系统的50多个漏洞进行了攻击以提升自己获取数据的权限。大多数被攻击的漏洞属于安卓用户厂商(三星、华为、小米和Oppo等)在安卓原生系统基础上建立的OEM(原始设备制造商)系统。托辛说,这些系统相对较少被检查,因此更容易有漏洞。
拼多多6.49.0版可以追踪用户在其他购物软件上的活动,读取用户收发的信息,在关闭状态下继续在后台活动。它还可以绕过应用商店的审核程序自行更新,并把自己的代码隐藏在别的文件夹内。
发布新版,解散团队
今年2月28日,一个名叫深蓝
的中国大陆网络安全公司首次披露了拼多多的恶意软件问题,引起了关注和跟进报道。3月5日,拼多多发布移除了恶意软件的6.50版。3月7日,拼多多解散了庞大的相关团队。3月8日,该团队成员使用公司内部通讯软件和查阅公司数据库及文件的权限被取消。据内部消息来源说,他们当中的大部分人被调到Temu,但仍有大约20名核心人员留在拼多多。
托辛在查看了新版拼多多后表示,尽管过去那些越权获取数据的功能被取消了,但是其底层代码还在,未来可以被激活。
在这个团队问世的2020年,中国政府开始了打击非法收集和使用个人信息的行动,次年通过了中华人民共和国个人信息保护法。根据该法,拼多多的行为毫无疑问属于犯罪。
中国工信部定期公布侵害用户权益行为的APP
和因此被下架的应用软件的名单。记者在这两份名单中都没有找到拼多多。
在微博上批评工信部执法不力的帖子被很快屏蔽。
(CNN, Nectar Gan, Yong Xiong and Juliana Liu, adaptation en chinois par Wei Wu)
文章来源于RCI:拼多多被指用恶意软件收集用户信息:CNN调查
