【A1頭條】用戶超過7.5億 網絡安全專家：拼多多安插惡意軟件 監視用戶

網絡安全專家警告，中國電子商務巨頭拼多多的App，可利用手機安全漏洞，監視其它應用程式的活動、檢查通知、閱讀私人訊息和更改設置等，將侵犯私隱和數據安全的行為，提升到了一個新水平。

「拼多多」（Pinduoduo）是中國最受歡迎的購物應用程式之一，每月向超過7.5億用戶銷售服裝、雜貨和各式各樣的物品。然而，據CNN對6個網絡安全團隊，以及拼多多幾名前任、現任員工的採訪，拼多多App中存在惡意軟件，該款App利用安卓系統（Android）漏洞，收集了大量的用戶數據。

公司內部人士稱，這些漏洞被用來監視用戶和競爭對手，據稱是為了促進銷售。

芬蘭網絡安全公司WithSecure的首席研究官Mikko Hyppönen說：「我們還沒有看過像這樣的主流應用程式，試圖升級他們的權限，以訪問他們不應該訪問的東西。」

今年3月，Google也宣布，在拼多多App上發現惡意軟件，已將其從Google Play上下架，並展開調查。（見另稿）

隨後，彭博社在一篇報道中指出，總部位於莫斯科的卡巴斯基實驗室也在該App中發現了潛在的惡意軟件。

該消息可能引起人們對拼多多國際版「Temu」的擔憂。

Temu在美國下載排行榜上名列前茅，並在其它西方市場快速擴張。雖然Temu尚未出現相關指控，但拼多多的行為可能給Temu的全球擴張帶來負面影響。

目前，沒有證據表明拼多多將數據交給了中共政府。但由於中共對其管轄範圍內的企業有巨大的影響力，美國國會議員擔心任何在中國營運的公司，都可能被迫與中共合作。

拼多多沒有回應CNN的置評請求。

CNN表示，拼多多擁有多達中國網絡人口四分之三的用戶群，市值是eBay的3倍。

拼多多是在2015年，由Google前員工黃崢（Colin Huang）在上海創立，拼多多以團購並提供巨大折扣為主的銷售模式，成功進入了低收入的農村地區。

拼多多現任員工說，在2020年，該公司成立了一個約100名工程師和產品經理組成的團隊，挖掘Android漏洞，開發利用這些漏洞的方法，並將其轉化為利潤。

這些匿名的消息人士表示，拼多多最初只針對農村地區和小城鎮的用戶，而避開北京和上海等大城市的用戶。

他們說：「目的是為了減少計劃曝光的風險。」

消息人士稱，通過收集大量用戶活動數據，拼多多能全面掌握用戶的習慣、興趣和偏好。

他們說，這使它能改進機器學習模型，提供更多個性化的推送通知和廣告，吸引用戶打開App並下訂單。

行動曝光後團隊解散

消息人士補充，在行動被曝光後，該團隊於3月初解散了。

CNN聯繫了幾間網絡安全公司，包括以色列的Check Point Research、美國的Oversecured和芬蘭的WithSecure，請他們對2月下旬在中國應用商店發布的拼多多6.49.0版App進行獨立分析。

研究人員發現，拼多多程序中有一個「權限升級」的代碼，這是一種利用操作系統的漏洞，獲得更高級別的數據訪問權限的網絡攻擊。

Hyppönen說：「我們的團隊對該代碼進行了逆向工程，我們可以確認，它試圖升級權限，試圖獲得一般應用程式在安卓手機上無法執行的操作。」

在中國，大約四分之三的智能手機用戶使用的是安卓系統。

Hyppönen說，該App能繼續在後台運行，並防止自己被卸載，這能提高每月活躍用戶率。他補充，它還能追蹤其它購物App的活動，並從中獲取資訊，監視競爭對手。

Check Point Research還發現，拼多多App能逃避審查。

研究人員表示，他們在一些插件中發現，該App將惡意組件隱藏在合法文件名下（例如Google的文件名），來掩蓋這些組件的意圖。

惡意軟件針對不同系統

Oversecured創辦人Sergey Toshin說，拼多多的惡意軟件專門針對不同的安卓系統，包括三星、華為、小米和OPPO的系統。
Toshin表示，拼多多是主流應用程式中「最危險的惡意軟件」，他說：「我以前從未見過這樣的東西。」

Toshin發現，拼多多利用了大約50個安卓系統漏洞，其中大部份是原始設備製造商（OEM）代碼。

全球大多數手機製造商都針對核心安卓軟件，即安卓開源項目（AOSP）加入OEM代碼，以便為自己的設備添加獨特的功能。這些代碼往往更少被審計，也更容易出現漏洞。

拼多多還利用了一些AOSP漏洞，其中一個漏洞在2022年2月被托申標記給Google。他說，Google今年3月已修復了這個漏洞。

Toshin說，這些漏洞允許拼多多在未經用戶同意下，訪問用戶的位置、聯絡人、日曆、通知和相簿。他說，他們還能改變系統設置，訪問用戶的社交網絡帳戶和聊天紀錄。

在CNN的調查中，另外3個安全團隊，沒有對拼多多App進行全面檢查。但他們的初步審查結果顯示，該App要求的大量權限，超出了一個購物應用程式的正常功能。

奧地利林茨約翰內斯開普勒大學網絡與安全研究所所長René Mayrhofer說，其中包括「潛在的侵入性權限」，例如「設置牆紙」和「不通知就下載」等。

在中國的社交媒體上，一些網絡安全專家質疑，為甚麼中共監管機構沒有採取任何行動。

一位擁有180萬粉絲的網絡安全專家上周在微博上說：「可能我們的監管者沒有一個能理解編碼和編程，也不了解技術。當惡意代碼被推到你面前時，你甚至無法理解它。」

該帖子第二天就被刪除了。◇

------------------
📊InfoG：
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄：
https://bit.ly/EpochTimesHK_Column
💎Miss NTD選美大賽現正接受報名：
https://bit.ly/MissNTD

------------------

📰支持大紀元，購買日報：
https://www.epochtimeshk.org/stores
📊InfoG：
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄：
https://bit.ly/EpochTimesHK_Column