2020年11月18日,在中國廣州南沙的廣州南沙花園酒店舉行的CNBC East Tech West,拼多多戰略副總裁劉大衛與CNBC高級記者Arjun Kharpal。( Zhong Zhi/Getty Images for CNBC International)
【新唐人北京時間2023年04月03日訊】中國應用程序拼多多在美國的應用程序Temu,被發現可以繞過用戶的手機安全,以監控其他應用程序上的活動、查看通知、閱讀私人消息和更改設置。而且一旦安裝,就很難移除。
據CNN報導,雖然許多應用程序都會收集大量用戶數據,但專家表示,拼多多已經將侵犯隱私和數據安全的行為提升到了一個新的水平。
CNN報導說,在收到用戶的舉報後,做了一項詳細的調查,調查對象包括來自亞洲、歐洲和美國的六個網絡安全團隊,還有多名前任和現任拼多多員工。
多位專家表示,拼多多程序利用Android操作系統漏洞安插惡意軟件,而拼多多公司內部人士表示,這些漏洞被用來監視用戶和競爭對手,目地是為了促進銷售。
芬蘭網絡安全公司WithSecure的首席研究官米科·海波寧(MikkoHyppönen)說,「我們還沒有看到像這樣的主流應用程序,提升權限訪問他們不應該訪問的東西」,「這非常不尋常,這是非常可惡的。」
所謂惡意軟件,是指為竊取數據或干擾計算機系統和移動設備而開發的軟件。
谷歌在3月份暫停其Play商店的拼多多程序,理由是在該應用程序的各個版本中都發現了惡意軟件。
隨後,彭博社也在一份報告中稱,一家俄羅斯網絡安全公司也在該應用程序中發現了潛在的惡意軟件。
針對安卓
拼多多的用戶群占中國網民的四分之三,這家初創公司於2015年由前谷歌員工黃崢在上海創立,主要是以團購提供大幅折扣和針對低收入群體區。2018年底,拼多多在紐約上市。
據拼多多現任員工稱,2020年,該公司成立了一個由約100名工程師和產品經理組成的團隊,負責挖掘Android手機中的漏洞,開發利用這些漏洞的方法,並將其轉化為利潤。
據因害怕遭到報復而要求匿名的消息人士稱,該公司最初只針對農村地區和小城鎮的用戶,而避開北京和上海等大城市的用戶,目地是「降低暴露的風險」。
此消息人士稱,通過收集用戶活動的大量數據,該公司能夠全面了解用戶的習慣、興趣和偏好。這使該程序能夠不斷改進,以提供更加個性化的推送通知和廣告,吸引用戶打開應用程序並下訂單。
此消息人士補充說,他們活動的被曝光後,該團隊於3月初解散。
最危險的惡意軟件
CNN聯繫了特拉維夫網絡公司CheckPointResearch、特拉華州應用程序安全初創公司Oversecured和Hyppönen的WithSecure的研究人員,對2月下旬在中國應用程序商店發布的拼多多6.49.0版應用程序進行了獨立分析。
研究人員發現,拼多多程序中有一個「特權升級」的代碼,這是一種利用操作系統的漏洞獲得更高級別的數據訪問權限的網絡攻擊。
海波寧說,「我們的團隊已經對該代碼進行了逆向工程,我們可以確認它試圖提升權限,試圖獲取普通應用程序無法在Android手機上執行的操作。」
海波寧表示,該應用程序能夠在後台繼續運行並防止自身被卸載,這使其能夠提高每月活躍用戶率。
他補充說,它還有能力通過跟蹤其他購物應用程序上的活動並從中獲取信息來監視競爭對手。
Check Point Research還確定,該應用程序能夠逃避審查。
研究人員說,該應用程序部署了一種推送更新的方法,在那些沒有安裝檢測惡意軟件的應用程序商店中允許該應用程序推送更新。
研究人員表示,他們還在一些插件中發現,該程序將潛在惡意組件隱藏在合法文件名下(例如Google的文件名)來掩蓋潛在惡意組件的意圖。
研究人員說,「這種技術被惡意軟件開發者廣泛使用,他們將惡意代碼注入具有合法功能的應用程序。」
Oversecured創始人謝爾蓋·托申(Sergey Toshin)表示,拼多多的惡意軟件專門針對不同的基於Android的操作系統,包括三星、華為、小米和Oppo使用的操作系統。
托申將拼多多描述為「最危險的惡意軟件」。
「我以前從未見過這樣的事情。就像,超級膨脹。」他說。
大多數手機製造商在全球範圍內定製核心Android軟件,即Android開源項目(AOSP),以將獨特的功能和應用程序添加到自己的設備中。
托申發現,拼多多利用了大約50個Android的系統漏洞。
他說,大多數漏洞利用都是為被稱為原始設備製造商(OEM)代碼的定製部件量身定製的,與AOSP相比,這些代碼往往更少被審計,因此更容易出現漏洞。
托申表示,拼多多還利用了一些AOSP漏洞,包括托申在2022年2月向谷歌舉報的一個漏洞。谷歌今年3月修復了這個漏洞。
根據托申的說法,這些漏洞允許拼多多在未經用戶同意的情況下訪問用戶的位置、聯繫人、日曆、通知和相冊。拼多多還能夠更改系統設置並訪問用戶的社交網絡帳戶和聊天記錄。
在CNN採訪的六個團隊中,有三個團隊沒有進行全面檢查。但他們的初步審查顯示,拼多多獲得的權限大大超出購物應用程序的正常功能。
奧地利林茨約翰內斯開普勒大學網絡與安全研究所所長勒內·邁爾霍夫(RenéMayrhofer)說,它們包括「潛在的侵入性權限」,例如「設置牆紙」和「在沒有通知的情況下下載」。
美國國會正在推動在全國範圍內禁止流行的短視頻應用程序TikTik,該應用程序的首席執行官周受資上週因與中共的關係而被國會盤問了五個小時。
對拼多多的這些曝光,也可能會吸引更多人關注拼多多的國際應用程序 Temu,該應用程序在美國下載排行榜上名列前茅,並在其他西方市場迅速擴張。
(記者李酈編譯/責任編輯:胡龍)