CNN丨拥有7.5亿用户的拼多多是如何窥探用户的

拥有7.5亿用户的拼多多是如何窥探用户的

它是中国最受欢迎的购物应用程序之一，每月向超过7.5亿用户出售服装、杂货和太阳底下几乎所有其他东西。

但网络安全研究人员表示，它还可以绕过用户的手机安全防护措施，监控其他应用上的活动，检查通知，读取私人信息，并更改设置。

而且一旦安装，就很难清除。

尽管许多应用都收集了海量用户数据，有时甚至没有得到用户的明确同意，但专家表示，电子商务巨头拼多多将侵犯隐私和数据安全的行为提升到了一个新的水平。

接获爆料后，有线电视新闻网(CNN)展开了一次详细调查，采访了来自亚洲、欧洲和美国的六个网络安全团队，以及拼多多的多名前任和现任员工。

多位专家在拼多多应用识别出了利用安卓操作系统漏洞的恶意软件。该公司内部人士表示，这些漏洞利用程序（exploits）被用来监视用户和竞争对手，据称是为了提高销售额。

芬兰网络安全公司 WithSecure 首席研究官Mikko Hyppönen表示：“试图提升权限，访问不应访问的内容，我们还没有见过有主流应用这样干的。” 

恶意软件，指的是为窃取数据或干扰计算机系统和移动设备而开发的任何软件。

有关拼多多应用中存在复杂恶意软件的证据流出，恰逢因担心数据安全问题，TikTok 等中国开发的应用受到密切关注。

一些美国国会议员正力推在全国范围内禁止这款广受欢迎的短视频应用。上周，TikTok首席执行官周受资就其与中国政府的关系接受了国会长达5个小时的质询。

这一发现还可能吸引更多人关注拼多多的国际姊妹应用 Temu，该应用目前在美国多个应用程序下载排行榜上名列榜首，并在其他西方市场迅速扩张。这两家公司的所有者都是在纳斯达克上市但根植中国的跨国公司 PDD。

虽然 Temu 未受牵连，但拼多多的可疑行为或将为其姊妹应用的全球扩张蒙上阴影。

没有证据表明，拼多多向中国政府提供了数据。但因北京对受其管辖的企业可以施加重大影响，美国立法者担心，任何在华经营的公司都可能被迫与范围广泛的安全活动合作。

更早些时候，谷歌在3月间从其应用商店中下架了拼多多，理由是，在该应用的多个版本中发现了恶意软件。

彭博新闻社随后发布的一则报道称，一家俄罗斯网络安全公司在该应用中发现了可能的恶意软件。

拼多多先前否认了“有关拼多多是恶意应用的猜测和指控”。

CNN多次通过电子邮件和电话联系 PDD请求置评，但未获回复。

崛起之路

拼多多自称拥有占中国网民四分之三的用户群，市值是 eBay 的三倍，但它并非一直都是在线购物巨头。

2015年，前谷歌员工黄铮在上海创立了拼多多。当时，这家初创公司努力打拼，以求在一个长期以来由电子商务巨头阿里巴巴和京东主导的市场中立足。

拼多多的成功，有赖于对亲朋好友的团购订单提供大幅折扣，并深耕低收入的农村地区。

2018年，拼多多在纽约上市，到当年底，拼多多公布了三位数的月度用户增长。但根据其收益报告，到2020年年中，其月度用户增长已经放缓至50%左右，并将继续下降。

一位现员工透露，2020年，拼多多成立了一个由大约一百名工程师和产品经理组成的团队，负责挖掘安卓手机的漏洞，开发利用这些漏洞的方法，并转化为利润。

据该消息人士的说法，拼多多最初只针对农村地区和小城镇的用户，同时回避北京和上海等大城市的用户。因担心遭到报复，这位消息人士要求匿名。

他们表示: “目标是降低被曝光的风险。”

该消息人士称，通过收集用户活动的大量数据，拼多多可以全面刻画出一个用户的习惯、兴趣和偏好。

他们表示，这使得该公司能够改进其机器学习模式，提供更加个性化的推送通知和广告，吸引用户打开应用并下订单。

该消息人士补充说，在有关他们的活动的疑问遭曝光后，该团队于3月初解散。

就涉及该团队的评论，CNN多次向PDD发出置评请求，但都未获回应。

专家们发现了什么

应CNN约请，设在特拉维夫的网络公司 Check Point Research，设在特拉华州的应用程序安全初创公司 Oversecurity，和 Hyppönen 的 WithSecure 公司的多位研究人员分析了2月晚些时候中国应用商店发布的拼多多应用6.49.0版。

谷歌应用商店在中国不能使用，中国的安卓用户可以从当地的应用商店下载他们的应用。今年3月，谷歌下架拼多多时，称其在该应用的数个版本中发现了恶意软件。

专家称，研究人员发现了旨在实现“权限提升”的代码。“权限提升”，是一种利用某个易受攻击的操作系统，获得原本不应有的更高级别数据访问权限的网络攻击，。

Hyppönen 称: “我们的团队已对那一代码实施了逆向工程，我们可以确认，该代码试图提升权限，试图获得访问一些内容的路径，而普通应用在安卓手机上无法做到这一点。”

Hyppönen 表示，该应用可以在后台继续运行，并防止自身被卸载，这使得它可以提高每月的活跃用户使用率。他补充说，它还可以跟踪其他购物应用的活动，并从中获取信息，由此监视竞争对手。

此外，Check Point Research识别出该应用回避复查的方式。

研究人员说，拼多多的应用部署了一种方法，使其能够在缺少应用程序商店审核流程的情况下推送更新。该流程旨在检测恶意应用。

他们还在一些插件中识别出了通过将它们隐藏在合法的文件名（比如 Google 的文件名）下模糊可能有恶意的组件的意图。

“这样的技术被恶意软件开发人员广泛使用，他们会将恶意代码注入有合法功能的应用程序中”，他们表示。

针对安卓系统

在中国，大约四分之三的智能手机用户使用安卓系统。据 Wedbush 证券公司的 Daniel Ives 称，苹果公司的 iPhone手机占有25% 的市场份额。

Oversecurity 创始人谢尔盖·托申Sergey Toshin表示，拼多多的恶意软件专门针对基于安卓的不同操作系统，包括三星、华为、小米和 Oppo 使用的那些系统。

CNN 已联系这些公司要求置评。

Toshin 将拼多多描述为主流应用程序中迄今为止发现的“最危险的恶意软件”。他表示: “我以前从来没有见过这样的恶意软件。它特别有扩张性。”

全球绝大多数手机制造商都定制了核心安卓软件，即“安卓开源项目” (AOSP) ，以为自己的设备添加独特的功能和应用。

Toshin 发现，拼多多利用了大约五十个安卓系统的漏洞。他称，绝大多数漏洞利用程序都是为定制的部分量身定做的，这些部分被称为原始设备制造商(OEM)代码，与 AOSP 相比，通常OEM 代码的检查次数较少，因此更容易出现漏洞。

拼多多还利用了一些 AOSP 漏洞，包括 Toshin 在2022年2月向谷歌标记过的一个漏洞。他称，今年3月，谷歌修复了这个漏洞。

Toshin 表示，漏洞利用软件允许拼多多在未经用户同意的情况下访问用户的位置、联系人、日历、通知和相册。他称，它们还可以改变系统设置，访问用户的社交网络帐户和聊天记录。

CNN为本报道采访了六个小组，其中有三个没有展开全面查证。但它们的初步复核显示，拼多多要求的大量许可超出了一个购物应用的正常功能。

奥地利约翰开普勒林茨大学（Johannes Kepler University Linz）网络与安全研究所（Institute of Networks and Security）所长 René Mayhofer 称，那些许可包括“可能构成侵入的许可”，比如“设置壁纸”和“在不发送通知的情况下下载”。

解散开发团队

2月晚些时候，一家名为深蓝（Dark Navy）中国网络安全公司发布的一份报告首次提出了对 拼多多应用中存在恶意软件的怀疑。尽管其中分析没有直接点出这家购物巨头的名字，但这份报告在其他研究人员中迅速传播开来，他们的确点出了这家公司的名字。一些分析师随后发表了他们自己的报告，证实了最初的发现。（一份报告，即《「深蓝洞察」2022 年度最“不可赦”漏洞》，由微信公众号“DarkNavy”发布于2023年2月28日。——译注）

据CNN采访到的两名专家的说法，3月5日，拼多多发布了其应用的新的更新版本，6.50.0，这一版本移除了那些漏洞利用程序。

据上述拼多多消息人士透露，发布该更新后两天，拼多多解散了开发漏洞利用程序的工程师和产品经理团队。

第二天，团队成员发现他们自己被锁在了拼多多的订制版工作场所通讯应用“敲门”（Knock）之外，无法访问该公司内部网络上的文件。该消息人士说，工程师们还发现，他们对大数据、数据表和日志系统的访问权限被撤销了。

团队的绝大部分成员被调到Temu工作。上述消息人士称，他们被分配到这家子公司的不同部门，其中一些人负责市场营销或开发推送通知。

他们表示，一个由约二十名网络安全工程师组成的核心团队仍留在拼多多，他们专门负责发现和利用网络漏洞。

Oversecured公司的 Toshin 研究了这次更新，他表示，尽管那些漏洞利用程序已被清除，但是底层代码仍然存在，可以被再度激活以实施攻击。

监管失灵

2020年晚些时候，中国政府开始对大型技术公司实施监管性的打压，在这一背景下，拼多多仍能壮大其用户基础。

那一年，工业和信息化部对非法收集和使用个人数据的应用程序发动了全面打击。

2021年，北京通过了首部涵盖广泛的数据隐私法。

《个人信息保护法》规定，任何组织、个人不得非法收集、使用、加工、传递他人的个人信息。他们还被禁止利用互联网相关的安全漏洞，或从事危及网络安全的行动。（本段第一句据《个人信息保护法》原文略加调整。——译注）

技术政策专家表示，拼多多明显的恶意软件或许违反了那些法律，理当由监管机构查明。

 “这会叫工业和信息化部尴尬，因为这是他们的工作”，咨询公司 Trivium China 的技术政策专家Kendra Schaefer表示。“他们应该查一下拼多多。他们没有发现(任何事)，这一事实对监管当局来讲是尴尬的。”

工业和信息化部有定期公布清单，公开点名被发现损害了用户隐私或其他权利的应用。它还会公布因不遵守规定而被从应用程序商店中清除一份单独的应用清单。

拼多多没有出现在任何一份清单上。

CNN 已联系工业和信息化部以及国家互联网信息办公室，要求置评。

在中国的社交媒体上，一些网络安全专家质疑何以监管当局没有采取任何行动。

上周，一位拥有180万粉丝的网络安全专家在类似 Twitter 的平台微博上表示：“可能我们的监管队伍中，没有一个人能够理解编码和编程，他们也不懂技术。哪怕恶意代码正好放在你面前，你都无法理解。”

这条收获疯狂转发的微博第二天被删除了。

（由CNN记者Nectar Gan、Yong Xiong和Juliana Liu报道，CNN记者Kristie Lu Stout 和Sean Lyngaas亦有贡献。本报道原题“‘I’ve never seen anything like this:’ One of China’s most popular apps has the ability to spy on its users, say experts”，由CNN网站发布于2023年4月2日。除截图外的所有图片及图说均为原文所有。译者听桥，不负责术语理解的准确。）