明见网提供多款免费翻墙软件,也提供免翻墙网址,为持续能看到真实信息,请記下明见网即时ip索取信箱:mingjianweb@gmail.com,並下载「无界浏览」与「自由门」「神州明见」等翻墙软件。 
 
网络安全专家警告,中国电子商务巨头拼多多的App,可利用手机安全漏洞,监视其它应用程序的活动、检查通知、阅读私人信息和更改设置等,将侵犯隐私和数据安全的行为,提升到了一个新水平。

“拼多多”(Pinduoduo)是中国最受欢迎的购物应用程序之一,每月向超过7.5亿用户销售服装、杂货和各式各样的物品。然而,据CNN对6个网络安全团队,以及拼多多几名前任、现任员工的采访(链接),拼多多App中存在恶意软件,该款App利用安卓系统(Android)漏洞,收集了大量的用户数据。

公司内部人士称,这些漏洞被用来监视用户和竞争对手,据称是为了促进销售。

芬兰网络安全公司WithSecure的首席研究官海波宁(Mikko Hyppönen)说:“我们还没有看过像这样的主流应用程序,试图升级他们的权限,以访问他们不应该访问的东西。”

今年3月,谷歌也表示,在拼多多App上发现恶意软件,已将其从Google Play上下架,并展开调查。

随后,彭博社在一篇报导中指出,总部位于莫斯科的卡巴斯基实验室也在该App中发现了潜在的恶意软件。

该消息可能引起人们对拼多多国际版“Temu”的担忧。

Temu在美国下载排行榜上名列前茅,并在其它西方市场快速扩张。虽然Temu尚未出现相关指控,但拼多多的行为可能给Temu的全球扩张带来负面影响。

目前,没有证据表明拼多多将数据交给了中共政府。但由于中共对其管辖范围内的企业有巨大的影响力,美国国会议员担心任何在中国运营的公司,都可能被迫与中共合作。

拼多多没有回应CNN的置评请求。

CNN表示,拼多多拥有多达中国网络人口四分之三的用户群,市值是eBay的三倍。

拼多多是在2015年,由谷歌前员工黄峥(Colin Huang)在上海创立,拼多多以团购并提供巨大折扣为主的销售模式,成功进入了低收入的农村地区。

拼多多现任员工对说,在2020年,该公司成立了一个约100名工程师和产品经理组成的团队,挖掘Android漏洞,开发利用这些漏洞的方法,并将其转化为利润。

这些匿名的消息人士表示,拼多多最初只针对农村地区和小城镇的用户,而避开北京和上海等大城市的用户。

他们说:“目的是为了减少计划曝光的风险。”

消息人士称,通过收集大量用户活动数据,拼多多能全面掌握用户的习惯、兴趣和偏好。

他们说,这使它能改进机器学习模型,提供更多个性化的推送通知和广告,吸引用户打开App并下订单。

消息人士补充说,在行动被曝光后,该团队于3月初解散了。

CNN联系了几家网络安全公司,包括以色列的Check Point Research、美国的Oversecured和芬兰的WithSecure,请他们对2月下旬在中国应用商店发布的拼多多6.49.0版App进行独立分析。

研究人员发现,拼多多程序中有一个“权限升级”的代码,这是一种利用操作系统的漏洞,获得更高级别的数据访问权限的网络攻击。

海波宁说:“我们的团队对该代码进行了逆向工程,我们可以确认,它试图升级权限,试图获得一般应用程序在安卓手机上无法执行的操作。”

在中国,大约四分之三的智能手机用户使用的是安卓系统。

海波宁说,该App能继续在后台运行,并防止自己被卸载,这能提高每月活跃用户率。他补充说,它还能跟踪其它购物App的活动,并从中获取信息,监视竞争对手。

Check Point Research还发现,拼多多App能逃避审查。

研究人员表示,他们在一些插件中发现,该App将恶意组件隐藏在合法文件名下(例如Google的文件名),来掩盖这些组件的意图。

Oversecured创办人谢尔盖·托申(Sergey Toshin)说,拼多多的恶意软件专门针对不同的安卓系统,包括三星、华为、小米和Oppo的系统。

托申表示,拼多多是主流应用程序中“最危险的恶意软件”,他说:“我以前从未见过这样的东西。”

托申发现,拼多多利用了大约50个安卓系统漏洞,其中大部分是原始设备制造商(OEM)代码。

全球大多数手机制造商都针对核心安卓软件,即安卓开源项目(AOSP)加入OEM代码,以便为自己的设备添加独特的功能。这些代码往往更少被审计,也更容易出现漏洞。

拼多多还利用了一些AOSP漏洞,其中一个漏洞在2022年2月被托申标记给谷歌。他说,谷歌今年3月已修复了这个漏洞。

托申说,这些漏洞允许拼多多在未经用户同意下,访问用户的位置、联系人、日历、通知和相簿。他说,他们还能改变系统设置,访问用户的社交网络账户和聊天记录。

在CNN的调查中,另外三个安全团队,没有对拼多多App进行全面检查。但他们的初步审查结果显示,该App要求的大量权限,超出了一个购物应用程序的正常功能。

奥地利林茨约翰内斯开普勒大学网络与安全研究所所长迈尔霍夫(René Mayrhofer)说,其中包括“潜在的侵入性权限”,例如“设置墙纸”和“不通知就下载”等。

在中国的社交媒体上,一些网络安全专家质疑,为什么中共监管机构没有采取任何行动。

一位拥有180万粉丝的网络安全专家上周在微博上说:“可能我们的监管者没有一个能理解编码和编程,也不了解技术。当恶意代码被推到你面前时,你甚至无法理解它。”

该帖子第二天就被删除了。

(大纪元: https://www.epochtimes.com/gb/23/4/3/n13964272.htm)

为甚么要救度众生

save

为什么会有人类

human

退出中共党、团、队人数

3tui
436,972,476

破网与禁书下载

freegate

免费下载自由门
专业版8.00  zip  exe
安卓版5.0  apk

wugate

免费下载无界浏览
电脑版2132  zip  exe
安卓版无界一点通  apk

爱博电视

免费下载爱博电视
PC版(180318)  exe
手机版(2.1.13)  apk

神州明见

免费下载神州明见
手机版 V6.9  apk
电视机顶盒版 V6.9  apk
神州明见網頁版 V2.0  下载  开启
二维码小助手 V3.0  下载

网必通

免费下载网必通
手机版apk   zip
 

神韵全球巡回演出预告

shenyun2024