網絡安全專家警告,中國電子商務巨頭拼多多的App,可利用手機安全漏洞,監視其它應用程式的活動、檢查通知、閱讀私人訊息和更改設置等,將侵犯私隱和數據安全的行為,提升到了一個新水平。

「拼多多」(Pinduoduo)是中國最受歡迎的購物應用程式之一,每月向超過7.5億用戶銷售服裝、雜貨和各式各樣的物品。然而,據CNN對6個網絡安全團隊,以及拼多多幾名前任、現任員工的採訪,拼多多App中存在惡意軟件,該款App利用安卓系統(Android)漏洞,收集了大量的用戶數據。

公司內部人士稱,這些漏洞被用來監視用戶和競爭對手,據稱是為了促進銷售。

芬蘭網絡安全公司WithSecure的首席研究官Mikko Hyppönen說:「我們還沒有看過像這樣的主流應用程式,試圖升級他們的權限,以訪問他們不應該訪問的東西。」

今年3月,Google也宣布,在拼多多App上發現惡意軟件,已將其從Google Play上下架,並展開調查。(見另稿

隨後,彭博社在一篇報道中指出,總部位於莫斯科的卡巴斯基實驗室也在該App中發現了潛在的惡意軟件。

該消息可能引起人們對拼多多國際版「Temu」的擔憂。

Temu在美國下載排行榜上名列前茅,並在其它西方市場快速擴張。雖然Temu尚未出現相關指控,但拼多多的行為可能給Temu的全球擴張帶來負面影響。

目前,沒有證據表明拼多多將數據交給了中共政府。但由於中共對其管轄範圍內的企業有巨大的影響力,美國國會議員擔心任何在中國營運的公司,都可能被迫與中共合作。

拼多多沒有回應CNN的置評請求。

CNN表示,拼多多擁有多達中國網絡人口四分之三的用戶群,市值是eBay的3倍。

拼多多是在2015年,由Google前員工黃崢(Colin Huang)在上海創立,拼多多以團購並提供巨大折扣為主的銷售模式,成功進入了低收入的農村地區。

拼多多現任員工說,在2020年,該公司成立了一個約100名工程師和產品經理組成的團隊,挖掘Android漏洞,開發利用這些漏洞的方法,並將其轉化為利潤。

這些匿名的消息人士表示,拼多多最初只針對農村地區和小城鎮的用戶,而避開北京和上海等大城市的用戶。

他們說:「目的是為了減少計劃曝光的風險。」

消息人士稱,通過收集大量用戶活動數據,拼多多能全面掌握用戶的習慣、興趣和偏好。

他們說,這使它能改進機器學習模型,提供更多個性化的推送通知和廣告,吸引用戶打開App並下訂單。

行動曝光後團隊解散

消息人士補充,在行動被曝光後,該團隊於3月初解散了。

CNN聯繫了幾間網絡安全公司,包括以色列的Check Point Research、美國的Oversecured和芬蘭的WithSecure,請他們對2月下旬在中國應用商店發布的拼多多6.49.0版App進行獨立分析。

研究人員發現,拼多多程序中有一個「權限升級」的代碼,這是一種利用操作系統的漏洞,獲得更高級別的數據訪問權限的網絡攻擊。

Hyppönen說:「我們的團隊對該代碼進行了逆向工程,我們可以確認,它試圖升級權限,試圖獲得一般應用程式在安卓手機上無法執行的操作。」

在中國,大約四分之三的智能手機用戶使用的是安卓系統。

Hyppönen說,該App能繼續在後台運行,並防止自己被卸載,這能提高每月活躍用戶率。他補充,它還能追蹤其它購物App的活動,並從中獲取資訊,監視競爭對手。

Check Point Research還發現,拼多多App能逃避審查。

研究人員表示,他們在一些插件中發現,該App將惡意組件隱藏在合法文件名下(例如Google的文件名),來掩蓋這些組件的意圖。

惡意軟件針對不同系統

Oversecured創辦人Sergey Toshin說,拼多多的惡意軟件專門針對不同的安卓系統,包括三星、華為、小米和OPPO的系統。
Toshin表示,拼多多是主流應用程式中「最危險的惡意軟件」,他說:「我以前從未見過這樣的東西。」

Toshin發現,拼多多利用了大約50個安卓系統漏洞,其中大部份是原始設備製造商(OEM)代碼。

全球大多數手機製造商都針對核心安卓軟件,即安卓開源項目(AOSP)加入OEM代碼,以便為自己的設備添加獨特的功能。這些代碼往往更少被審計,也更容易出現漏洞。

拼多多還利用了一些AOSP漏洞,其中一個漏洞在2022年2月被托申標記給Google。他說,Google今年3月已修復了這個漏洞。

Toshin說,這些漏洞允許拼多多在未經用戶同意下,訪問用戶的位置、聯絡人、日曆、通知和相簿。他說,他們還能改變系統設置,訪問用戶的社交網絡帳戶和聊天紀錄。

在CNN的調查中,另外3個安全團隊,沒有對拼多多App進行全面檢查。但他們的初步審查結果顯示,該App要求的大量權限,超出了一個購物應用程式的正常功能。

奧地利林茨約翰內斯開普勒大學網絡與安全研究所所長René Mayrhofer說,其中包括「潛在的侵入性權限」,例如「設置牆紙」和「不通知就下載」等。

在中國的社交媒體上,一些網絡安全專家質疑,為甚麼中共監管機構沒有採取任何行動。

一位擁有180萬粉絲的網絡安全專家上周在微博上說:「可能我們的監管者沒有一個能理解編碼和編程,也不了解技術。當惡意代碼被推到你面前時,你甚至無法理解它。」

該帖子第二天就被刪除了。◇

------------------
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
💎Miss NTD選美大賽現正接受報名:
https://bit.ly/MissNTD

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand