配图:拼多多 双12
拼多多作为国内“最受欢迎”的APP之一,月活已经达到了7.5亿,但据网络安全研究人员称,它绕过用户的手机安全扫描,监控手机上其他应用程序上的活动、查看通知、阅读私人消息甚至更改设置。而且一旦安装,就很难删除。
虽然许多APP都未经用户明确同意就收集了大量用户数据,但专家表示,拼多多 侵犯用户隐私和数据安全的水平远超一般APP。
芬兰网络安全公司 WithSecure 的首席研究官 Mikko Hyppönen 说:“我们还没有见过如此流行APP总是试图提升自己权限以访问他们不应该访问的东西。”
彭博社的一份报告称,一家俄罗斯网络安全公司也在该拼多多中发现了隐藏的恶意操作。
拼多多的用户数占我国网民数的75%, 市值是 eBay 的三倍。
据拼多多现任员工称,2020 年,该公司成立了一个由约 100 名工程师和产品经理组成的团队,负责挖掘 Android 手机中的漏洞,开发利用这些漏洞的方法——并将其转化为利润。
据因害怕遭到报复而要求匿名的消息人士称,该公司最初只针对农村地区和小城镇的用户,而避开了北京和上海等特大城市的用户。“目标是降低暴露的风险,”他们说。
消息人士称,通过收集有关用户活动的大量数据,该公司能够全面了解用户的习惯、兴趣和偏好。他们说,这使其能够改进其机器学习模型,以提供更加个性化的推送通知和广告,吸引用户打开应用程序并下订单。
消息人士补充说,在有关他们活动的问题曝光后,该团队于 3 月初解散。
今年 3 月,谷歌下架了拼多多,它表示在该应用程序的非正式版本中发现了恶意软件。
据专家称,研究人员发现了旨在实现“特权升级”的代码:一种利用易受攻击的操作系统来获得比预期更高级别的数据访问权限的网络攻击。
专家说:“我们的团队已经对拼多多APP的代码进行了逆向工程,我们可以确认它试图提升权限,试图执行普通应用程序无法在 Android 手机上执行的操作。”
专家说,该应用程序能够在后台运行并防止自身被卸载,这使其能够提高每月活跃用户率。他补充说,它还有能力通过跟踪其他购物应用程序上的活动并从中获取信息来监视竞争对手。
专家还确定了该应用程序逃避应用商店审查的方式。
研究人员说,该应用程序部署了一种方法,允许它在没有经过应用商店审核通过的情况下推送更新。
国内网络安全公司 Dark Navy于 2 月下旬在一份报告中首次提出了对拼多多应用程序中恶意软件的怀疑,尽管该分析没有直接点名这家购物巨头。
据专家称,不久之后,3 月 5 日,拼多多发布了其应用程序的新更新版本 6.50.0,删除了这些漏洞。据拼多多消息人士透露,更新两天后,拼多多解散了开发漏洞的工程师和产品经理团队。
注:以上内容皆来自与网络,如有问题请联系作者删除。