网络安全专家警告，中国电子商务巨头拼多多的App，可利用手机安全漏洞，监视其它应用程序的活动、检查通知、阅读私人信息和更改设置等，将侵犯隐私和数据安全的行为，提升到了一个新水平。

“拼多多”（Pinduoduo）是中国最受欢迎的购物应用程序之一，每月向超过7.5亿用户销售服装、杂货和各式各样的物品。然而，据CNN对6个网络安全团队，以及拼多多几名前任、现任员工的采访（链接），拼多多App中存在恶意软件，该款App利用安卓系统（Android）漏洞，收集了大量的用户数据。

公司内部人士称，这些漏洞被用来监视用户和竞争对手，据称是为了促进销售。

芬兰网络安全公司WithSecure的首席研究官海波宁（Mikko Hyppönen）说：“我们还没有看过像这样的主流应用程序，试图升级他们的权限，以访问他们不应该访问的东西。”

今年3月，谷歌也表示，在拼多多App上发现恶意软件，已将其从Google Play上下架，并展开调查。

随后，彭博社在一篇报导中指出，总部位于莫斯科的卡巴斯基实验室也在该App中发现了潜在的恶意软件。

该消息可能引起人们对拼多多国际版“Temu”的担忧。

Temu在美国下载排行榜上名列前茅，并在其它西方市场快速扩张。虽然Temu尚未出现相关指控，但拼多多的行为可能给Temu的全球扩张带来负面影响。

目前，没有证据表明拼多多将数据交给了中共政府。但由于中共对其管辖范围内的企业有巨大的影响力，美国国会议员担心任何在中国运营的公司，都可能被迫与中共合作。

拼多多没有回应CNN的置评请求。

CNN表示，拼多多拥有多达中国网络人口四分之三的用户群，市值是eBay的三倍。

拼多多是在2015年，由谷歌前员工黄峥（Colin Huang）在上海创立，拼多多以团购并提供巨大折扣为主的销售模式，成功进入了低收入的农村地区。

拼多多现任员工对说，在2020年，该公司成立了一个约100名工程师和产品经理组成的团队，挖掘Android漏洞，开发利用这些漏洞的方法，并将其转化为利润。

这些匿名的消息人士表示，拼多多最初只针对农村地区和小城镇的用户，而避开北京和上海等大城市的用户。

他们说：“目的是为了减少计划曝光的风险。”

消息人士称，通过收集大量用户活动数据，拼多多能全面掌握用户的习惯、兴趣和偏好。

他们说，这使它能改进机器学习模型，提供更多个性化的推送通知和广告，吸引用户打开App并下订单。

消息人士补充说，在行动被曝光后，该团队于3月初解散了。

CNN联系了几家网络安全公司，包括以色列的Check Point Research、美国的Oversecured和芬兰的WithSecure，请他们对2月下旬在中国应用商店发布的拼多多6.49.0版App进行独立分析。

研究人员发现，拼多多程序中有一个“权限升级”的代码，这是一种利用操作系统的漏洞，获得更高级别的数据访问权限的网络攻击。

海波宁说：“我们的团队对该代码进行了逆向工程，我们可以确认，它试图升级权限，试图获得一般应用程序在安卓手机上无法执行的操作。”

在中国，大约四分之三的智能手机用户使用的是安卓系统。

海波宁说，该App能继续在后台运行，并防止自己被卸载，这能提高每月活跃用户率。他补充说，它还能跟踪其它购物App的活动，并从中获取信息，监视竞争对手。

Check Point Research还发现，拼多多App能逃避审查。

研究人员表示，他们在一些插件中发现，该App将恶意组件隐藏在合法文件名下（例如Google的文件名），来掩盖这些组件的意图。

Oversecured创办人谢尔盖·托申（Sergey Toshin）说，拼多多的恶意软件专门针对不同的安卓系统，包括三星、华为、小米和Oppo的系统。

托申表示，拼多多是主流应用程序中“最危险的恶意软件”，他说：“我以前从未见过这样的东西。”

托申发现，拼多多利用了大约50个安卓系统漏洞，其中大部分是原始设备制造商（OEM）代码。

全球大多数手机制造商都针对核心安卓软件，即安卓开源项目（AOSP）加入OEM代码，以便为自己的设备添加独特的功能。这些代码往往更少被审计，也更容易出现漏洞。

拼多多还利用了一些AOSP漏洞，其中一个漏洞在2022年2月被托申标记给谷歌。他说，谷歌今年3月已修复了这个漏洞。

托申说，这些漏洞允许拼多多在未经用户同意下，访问用户的位置、联系人、日历、通知和相簿。他说，他们还能改变系统设置，访问用户的社交网络账户和聊天记录。

在CNN的调查中，另外三个安全团队，没有对拼多多App进行全面检查。但他们的初步审查结果显示，该App要求的大量权限，超出了一个购物应用程序的正常功能。

奥地利林茨约翰内斯开普勒大学网络与安全研究所所长迈尔霍夫（René Mayrhofer）说，其中包括“潜在的侵入性权限”，例如“设置墙纸”和“不通知就下载”等。

在中国的社交媒体上，一些网络安全专家质疑，为什么中共监管机构没有采取任何行动。

一位拥有180万粉丝的网络安全专家上周在微博上说：“可能我们的监管者没有一个能理解编码和编程，也不了解技术。当恶意代码被推到你面前时，你甚至无法理解它。”

该帖子第二天就被删除了。

(大纪元: https://www.epochtimes.com/gb/23/4/3/n13964272.htm)