拼多多侵害用户隐私规模前所未见(图)
拼多多战略副总裁刘大卫与 CNBC 高级记者Arjun Kharpal交谈。(图片来源:Zhong Zhi)
【看中国2023年4月5日讯】近日,美国有线电视新闻网(CNN)报导了中国电商巨擘拼多多应用程式可绕过手机安全系统,监控其他应用程式活动,甚至安装后就难以移除。由于拼多多应用侵害用户资讯安全的规模前所未见,谷歌应用商店已将其下架。有学者警告说,拼多多海外版“Temu”正扩展用户,相关资安风险令人担忧。
拼多多发现恶意软件被谷歌下架
近日,部分美国国会议员以恐有资安疑虑,推动全美禁用中国短视频影音应用程式抖音海外版TikTok。美媒CNN日前另披露,超过7.5亿用户的中国知名购物程式拼多多APP也暗藏恶意软件,对隐私的侵犯与危害前所未见。
据CNN报导,他们在收到检举后,与来自亚、欧、美的六个网络安全团队和数名现任或前任拼多多员工进行访谈发现,拼多多APP存有利用安卓(Android)作业系统漏洞的恶意软件,可绕过安全系统监控其他App、查看通知、阅读私信,甚至更改手机设定,且很难完全移除。
拼多多已被谷歌应用商店下架
谷歌Play应用商店以拼多多藏有恶意软件为由,在今年3月已将其下架。CNN报导引述芬兰资安公司WithSecure首席研究员赫佩根形容,从未曾看到主流APP试图提升权限,以读取其他内容,“这极不寻常,非常可恶”。
CNN报导还指出,拼多多驳斥了有关其APP是恶意软件的指控。拼多多人士称,这些漏洞用来监控用户与竞争对手,是为促进销售成绩。目前并无证据显示,拼多多将搜集的数据交给中国政府。
此外,美国媒体彭博社(Bloomberg News)也披露,有俄罗斯资安公司在拼多多App发现潜在的恶意软件。
学者:可追踪使用者其他APP资料且能更改设定
台湾法律科技协会理事长、国立海洋大学海洋法律与政策学院副教授江雅绮4日接受自由亚洲电台采访指出,资安专家验证发现拼多多搜集用户个资,引爆的资安漏洞规模之大令外界惊讶,前所未见。
江雅绮说:“第一,(拼多多应用)用户量很大,而且能做的不只可以追踪使用者资料,还可以追踪使用者使用其他APP资料,以及更改使用者的设定。超出一般认为资安漏洞、个资非法搜集可能针对软件的使用资料,扩及到其他使用的资料。”
江雅绮指出,CNN报导还提及2020年,拼多多内部组建百人团队,专门研究安卓手机系统上的漏洞,以利用这漏洞收集资料。这组研究漏洞的团队据说大部份已转到拼多多旗下的跨境电商海外版“Temu”的相关部门。Temu三月才登上美国购物类APP下载冠军。
海外版Temu正在扩张会否有相同漏洞引关注
江雅绮说:“现在大家忧虑拼多多被检举发现截取资料,大家吓一跳,规模非法程度这么大,大家担心在美国下载量名列前矛的Temu是否一样有这样的漏洞?”
江雅绮提到,一旦下载拼多多APP很难删除又会不知不觉搜集很多使用者资料,建议有下载的要赶快删除。
网络观察人士佐拉接受自由亚洲电台采访指出,拼多多和抖音不同,抖音海外版雇用新加坡总裁(CEO)、使用美国服务器存储数据,还要服从美国法律和监管;拼多多是中国公司,它的数据肯定存在中国服务器上。如果中国国安、情报部门要求提供客户数据,它完全没有能力拒绝。拼多多收集的数据,中国政府一定拿得到。
网络观察人士:拼多多问题比抖音严重
佐拉提到,知道拼多多到处利用微信发邀请函,要求帮忙发连结、团购、砍一刀等,取得订单较低廉的价格。这种软件有资安问题在意料之中。而在拼多多之前,很多软件为冲高装机量也使用各种手法。比如,购买灰色产业推广服务,设法突破手机对软件的限制,以谈广告为名偷偷安装软件等手法防不胜防。
佐拉说:“拼多多在中国市值近百亿,甚至获得腾讯投资。想不到拼多多敢组建黑客团队,专门研究安卓手机漏洞获得商业利益,胆大妄为,这是比较罕见。正规团队这么做,迟早会暴露。”
佐拉提到,拼多多的问题需要媒体广为报导,才能防止更多人受害。
拼多多客户:盗版货充斥频繁遭短信骚扰
旅美中国人士任瑞婷接受自由亚洲电台采访表示,她透过拼多多买过一次商品确实便宜,但全是盗版货,质量差。买过一次就一直发短信来,很烦,是典型的中国APP,预备卸载。下载后,填资料就送东西给优惠,引诱消费者,最后一直被短信骚扰。
听到拼多多被爆出资安疑虑,任瑞婷表示,很担心会泄露住址、电话,只能祈祷自己没什么重要东西在手机上,说到底还是反感中共,他们没底线。现在个资泄露很严重,自我防范意识不强,希望对方只是贩卖她的资料从中赚钱,对她的日常安全不致构成打扰。
任瑞婷提到:“我有朋友,他投稿到一个网站,网站被黑,骇客找到他的电脑,通过里面的微信或其他中国APP锁定身份,之后家人回中国被限制出境了。那些不满共产党、有作公开发言的人要小心。
(文章仅代表作者个人立场和观点)