网络安全专家警告,中国电子商务巨头拼多多的App,可利用手机安全漏洞,监视其它应用程序的活动、检查通知、阅读私人信息和更改设置等,将侵犯隐私和数据安全的行为,提升到了一个新水平。
“拼多多”(Pinduoduo)是中国最受欢迎的购物应用程序之一,每月向超过7.5亿用户销售服装、杂货和各式各样的物品。然而,据CNN对6个网络安全团队,以及拼多多几名前任、现任员工的采访(链接),拼多多App中存在恶意软件,该款App利用安卓系统(Android)漏洞,收集了大量的用户数据。
公司内部人士称,这些漏洞被用来监视用户和竞争对手,据称是为了促进销售。
芬兰网络安全公司WithSecure的首席研究官海波宁(Mikko Hyppönen)说:“我们还没有看过像这样的主流应用程序,试图升级他们的权限,以访问他们不应该访问的东西。”
今年3月,谷歌也表示,在拼多多App上发现恶意软件,已将其从Google Play上下架,并展开调查。
随后,彭博社在一篇报导中指出,总部位于莫斯科的卡巴斯基实验室也在该App中发现了潜在的恶意软件。
该消息可能引起人们对拼多多国际版“Temu”的担忧。
Temu在美国下载排行榜上名列前茅,并在其它西方市场快速扩张。虽然Temu尚未出现相关指控,但拼多多的行为可能给Temu的全球扩张带来负面影响。
目前,没有证据表明拼多多将数据交给了中共政府。但由于中共对其管辖范围内的企业有巨大的影响力,美国国会议员担心任何在中国运营的公司,都可能被迫与中共合作。
拼多多没有回应CNN的置评请求。
CNN表示,拼多多拥有多达中国网络人口四分之三的用户群,市值是eBay的三倍。
拼多多是在2015年,由谷歌前员工黄峥(Colin Huang)在上海创立,拼多多以团购并提供巨大折扣为主的销售模式,成功进入了低收入的农村地区。
拼多多现任员工对说,在2020年,该公司成立了一个约100名工程师和产品经理组成的团队,挖掘Android漏洞,开发利用这些漏洞的方法,并将其转化为利润。
这些匿名的消息人士表示,拼多多最初只针对农村地区和小城镇的用户,而避开北京和上海等大城市的用户。
他们说:“目的是为了减少计划曝光的风险。”
消息人士称,通过收集大量用户活动数据,拼多多能全面掌握用户的习惯、兴趣和偏好。
他们说,这使它能改进机器学习模型,提供更多个性化的推送通知和广告,吸引用户打开App并下订单。
消息人士补充说,在行动被曝光后,该团队于3月初解散了。
CNN联系了几家网络安全公司,包括以色列的Check Point Research、美国的Oversecured和芬兰的WithSecure,请他们对2月下旬在中国应用商店发布的拼多多6.49.0版App进行独立分析。
研究人员发现,拼多多程序中有一个“权限升级”的代码,这是一种利用操作系统的漏洞,获得更高级别的数据访问权限的网络攻击。
海波宁说:“我们的团队对该代码进行了逆向工程,我们可以确认,它试图升级权限,试图获得一般应用程序在安卓手机上无法执行的操作。”
在中国,大约四分之三的智能手机用户使用的是安卓系统。
海波宁说,该App能继续在后台运行,并防止自己被卸载,这能提高每月活跃用户率。他补充说,它还能跟踪其它购物App的活动,并从中获取信息,监视竞争对手。
Check Point Research还发现,拼多多App能逃避审查。
研究人员表示,他们在一些插件中发现,该App将恶意组件隐藏在合法文件名下(例如Google的文件名),来掩盖这些组件的意图。
Oversecured创办人谢尔盖·托申(Sergey Toshin)说,拼多多的恶意软件专门针对不同的安卓系统,包括三星、华为、小米和Oppo的系统。
托申表示,拼多多是主流应用程序中“最危险的恶意软件”,他说:“我以前从未见过这样的东西。”
托申发现,拼多多利用了大约50个安卓系统漏洞,其中大部分是原始设备制造商(OEM)代码。
全球大多数手机制造商都针对核心安卓软件,即安卓开源项目(AOSP)加入OEM代码,以便为自己的设备添加独特的功能。这些代码往往更少被审计,也更容易出现漏洞。
拼多多还利用了一些AOSP漏洞,其中一个漏洞在2022年2月被托申标记给谷歌。他说,谷歌今年3月已修复了这个漏洞。
托申说,这些漏洞允许拼多多在未经用户同意下,访问用户的位置、联系人、日历、通知和相簿。他说,他们还能改变系统设置,访问用户的社交网络账户和聊天记录。
在CNN的调查中,另外三个安全团队,没有对拼多多App进行全面检查。但他们的初步审查结果显示,该App要求的大量权限,超出了一个购物应用程序的正常功能。
奥地利林茨约翰内斯开普勒大学网络与安全研究所所长迈尔霍夫(René Mayrhofer)说,其中包括“潜在的侵入性权限”,例如“设置墙纸”和“不通知就下载”等。
在中国的社交媒体上,一些网络安全专家质疑,为什么中共监管机构没有采取任何行动。
一位拥有180万粉丝的网络安全专家上周在微博上说:“可能我们的监管者没有一个能理解编码和编程,也不了解技术。当恶意代码被推到你面前时,你甚至无法理解它。”
该帖子第二天就被删除了。
(大纪元: https://www.epochtimes.com/gb/23/4/3/n13964272.htm)