美国媒体调查显示: 拼多多涉监控用户提高销售业绩
研究员分析了拼多多于2月25日推出的6.49.0应用版本后发现,该程序利用安卓操作系统的约50个漏洞,安插恶意软件全方位监视和窃取用户的个人信息。
(香港讯)美国媒体展开的调查显示,拥有约8.24亿用户的中国电商应用巨头拼多多,长期未经用户许可,自行绕过用户手机安全设置,监控用户在其他应用的活动,以提高销售业绩。
美国有线电视新闻网(CNN)在收到用户举报后进行了详细的调查,包括访问来自亚洲、欧洲和美国共六个网络安全团队,以及多名拼多多的现任和前任员工。
研究员分析了拼多多于2月25日推出的6.49.0应用版本后发现,该程序利用安卓操作系统的约50个漏洞,安插恶意软件全方位监视和窃取用户的个人信息。
拼多多内部员工透露,公司为了提高销售业绩,2020年成立了一个百人团队研究安卓系统的漏洞,以监视用户在其他应用的活动、查看通知、阅读私人信息和追踪用户位置等,勾勒出用户的习惯、兴趣和偏好。
一开始,拼多多只监控中国小县城和农村地区的用户,以避免暴露行动。拼多多还将潜在的恶意代码隐藏在合法的文件夹内,以逃避审查。
为了能进一步巩固用户粘性,拼多多通过攻击安卓漏洞,未经用户授权自行提高应用权限,读取原本不能获得的系统信息和其他软件的信息,还修改系统设置,使软件难以被彻底卸载。
研究员:没证据显示拼多多将数据交中国政府
芬兰网络安全公司WithSecure的首席研究员海波宁说:“我们没看过这种会自行提高系统权限,以获得不被授权信息的主流应用。这是非常不寻常的,而且对拼多多来说相当不利。”
不过,研究人员也说,没有证据表明拼多多曾将数据转交给中国政府。
6.49.0版本2月底推出后,中国网络安全公司Dark Navy发布报告,指拼多多在应用中安插了恶意软件。3月5日,拼多多迅速发布更新版本6.50.0,并删除了相关漏洞;两天后,该公司突然解散专门挖掘漏洞的百人工程团队。
谷歌3月21日宣布在谷歌商店中下架这一应用。彭博社随后发表的一篇报道说,一家俄罗斯网络安全公司也在应用中发现了潜在的恶意软件。拼多多早前曾否认“有关拼多多应用具有恶意软件的猜测和指控”。
这一消息曝光后,预计将有更多人开始关注拼多多的国际版应用Temu。这款应用在美国下载排行榜上名列前茅,也在其他西方市场迅速扩张。
成立于2015年的拼多多是中国主流的手机购物平台,用户能通过与他人共同团购商品而获得大幅折扣。拼多多的用户人数已占中国网络人口的四分之三,市值是拍卖平台eBay的三倍。