>首页> IT >

拼多多“窃听风暴”? 专设百人技术团队盗取用户隐私

时间:2023-04-05 10:09:25       来源:新立场NewPosition

作为按用户数量计算国内最大的电商平台,拼多多似乎正在进入一个多事之秋。

一是中小商家与平台积累的长期矛盾集中爆发,拼多多遭遇了史上最严重的“炸店”风波。二是拼多多官方APP侵犯用户隐私,先是Google在Play商店将其下架,并提醒已安装的用户卸载该软件;随后是卡巴斯基证实拼多多APP包含恶意代码,引发舆论一片哗然,事件一度登上微博热搜Top3。


(资料图)

上述风波还未完全平息之际,又有一个新麻烦冒了出来。4月2日,CNN以《拼多多监控用户,专家称前所未见》为题,发布了一篇长文调查报道,引起广泛关注。根据这篇报道披露的信息,拼多多在2020年组建了一个由100名工程师和产品经理构成的团队,专门寻找安卓手机的漏洞,开发利用这些漏洞的途径,并以此牟利。

拼多多在此之前,就已经多次被媒体点名恶意侵犯隐私之类的行为。 比如2021年,拼多多就被媒体曝光因为与一位用户有消费纠纷,竟然远程删除用户手机上的证据截图。 自己手机上的照片,别人竟然想看就看、想删就删,一时间物议沸腾,事件迅速成为热搜第一。

CNN这篇报道的增量在于,它在收到线索后对接了来自美欧和亚洲的六个网络安全团队,并同多名前任和现任拼多多员工进行了交谈,因而在技术角度梳理得比较全面,同时还提供了技术之外的相关细节。

芬兰网络安全公司WithSecure的研发主管称:“我们还没有看到像这样的主流应用程序,试图提升它们的权限以访问它们不应该访问的东西。”另外有专家表示,拼多多的做法,“将侵犯隐私和数据安全的行为提升到了一个新的水平(the next level)”。

而在《新立场》准备这篇稿件的时候,三星于4月4日紧急发布补丁,修复了正在被拼多多大规模利用的三星手机的CertByte漏洞。根据三星官网发布的公告,该漏洞严重程度被定为高危,影响包括Android11,12,13在内的机型。三星是在3月8日Github曝光后关注到外部在野利用报告,并快速进行了修复,也侧面印证了三星对这一问题的担心程度。

01 专攻国产OEM系统、专攻下沉市场

根据这篇文章,拼多多瞄准的对象是安卓手机用户,这部分群体在国内整体智能手机用户中占比高达75%。 所有国内手机上的定制系统,像Oppo的ColorOS或者小米的MIUI,都是厂商通过Android开源项目(AOSP),在Google提供的核心代码上深度定制添加自身功能特性后实现的。

这些OEM厂商的代码通常没有经过像AOSP那样严格的审计,因此更容易引入系统漏洞。据CNN采访的一家专业网络安全公司负责人称,他发现拼多多利用了大约50个安卓系统漏洞,其中大部分都是针对某个OEM厂商的定制模块。当然也有少部分漏洞来自AOSP本身,甚至相当巧合的是,这位负责人说拼多多利用的其中一个漏洞就是去年2月他报告给Google的。

今年2月28号,网络安全公司深蓝曾发布2022年度最“不可赦”漏洞,里面有提及某互联网巨头以白帽黑客作为武器,实现对主流操作系统的漏洞攻击。CNN这篇报道也引用了深蓝的文章,只不过借研究人员之口,点出了拼多多的名字,一些分析人员后续还在Github上放出了拼多多恶意行为分析报告。

CNN采访的一名现任拼多多员工还透露一些有意思的细节。这名员工说,拼多多通过这大概100个工程师和产品经理,研究怎么利用漏洞后,采取了比较“审慎”的运营策略:基于这些漏洞开发的功能,最初避开了北上广深等一线城市,只针对农村地区和小城镇的用户,因为这样可以降低暴露的风险。

在深蓝二月底那篇文章出来后,拼多多在3月5日发布了更新的6.50.0版本,该版本移除了利用漏洞的代码。不过专业人士称,漏洞利用的底层代码依然还在,随时可以被重新激活。在这次更新之前,相关的dex文件也被拼多多从CDN服务器上移除。同时更新后,上面提到的负责开发这些漏洞的团队被解散,CNN称这些成员大多被转移到Temu工作,不过拼多多仍保留了20人左右的核心团队继续“捡漏”。

02 Temu受影响,其他中国公司或被牵连

如CNN那篇报道标题里所提及的,拼多多是中国最流行的APP之一, 而人们很难想象这种体量的互联网公司能沿着一个错误的方向走的如此之远。对拼多多而言,前期屡试不爽的侥幸塑造了一种影响深刻的路径依赖。这种依赖虽然帮助拼多多从阿里和京东的夹缝中突围成功,但也给如今业已壮大的拼多多埋下了隐患,尤其当黄峥已然将扩张的视线移到出海。

自去年9月上线以来,拼多多旗下的跨境电商平台Temu在北美迅速起量。这款APP在登陆美国市场的前五个月时间里,就创造了5亿美元的GMV,同时今年1月份的单月GMV已经达到2亿美元,并在2月进入加拿大市场。

尽管目前Temu在海外还没有遇到同样的问题,但无论是彭博还是CNN的报道,都提及了这个APP。

例如,CNN认为拼多多这次被曝光的侵犯隐私问题,将导致Temu受到更多的专注。北美市场更健全和成熟的商业体系,对企业经营的合规性要求更高,这次事件对于正在北美及其他西方市场快速扩张的Temu来说,无疑蒙上了一层阴影。拼多多需要吸取教训,避免在Temu上犯同样的错误,尤其如果之前那批负责漏洞开发的成员确实是到Temu转就业了的话。

在这个敏感的时间节点上,拼多多的这场风波可能会对中国的互联网公司出海产生连带影响。

*题图及文中配图来源于网络。

参考内容:

《‘I’ve never seen anything like this:’ One of China’s most popular apps has the ability to spy on its users, say experts》,来源:CNN

《2022 年度最“不可赦”漏洞》,来源:深蓝

《拼多多apk利用漏洞牟利复现》,来源:军机故阁

《Google Suspends Pinduoduo After Finding Malware in Versions》,来源:Bloomberg

原文标题 : 拼多多“窃听风暴”? 专设百人技术团队盗取用户隐私

关键词: