中国广受欢迎的「拼多多」购物App,日前被揭夹藏恶意软体监控其他程式并可阅读私讯、更改设定。专家表示这在主流程式中「前所未见」,在3月已遭Google商店下架。
美国有线电视新闻网(CNN)报导,「拼多多」是中国最受欢迎的购物电商之一,每月有超过7.5亿用户用他们的App购买服装、杂货等几乎所有商品。但资安人员表示,它可绕过手机安全系统,监控其他应用程式活动、查看通知、阅读私讯,甚至更改设定,且一旦安装就很难移除。
虽然许多App也都未经当事人同意就搜集大量用户数据,但专家表示,电商巨擘「拼多多」将隐私侵犯与危害资安提升到新境界。
CNN在收到检举后与来自亚洲、欧洲和美国的6个网路安全团队乃至多名现、前任拼多多员工访谈。多位专家发现「拼多多」App中存有利用安卓(Android)作业系统漏洞的恶意软体。拼多多内部人士称这些漏洞用来监控用户与竞争对手,据称是为促进销售成绩。
芬兰网络安全公司WithSecure的首席研究官赫佩根( Mikko Hypponen)说:「我们还未曾看过像这样的主流App,试图提升自己权限,读取它们不应接触的内容。」
「这非常不寻常,拼多多实在非常可恶。」
拼多多被爆夹藏复杂恶意软体的证据,正值美国以资安及国安疑虑,对TikTok等中国所研发的App加强审查之际。
部分美国国会议员正推动全美禁用流行短影音App的TikTok,TikTok执行长周受资上周出席国会听证会,接受两党议员长达5小时的拷问。
拼多多App爆出问题,可能会引起更多人关注它在国际上的姊妹应用程式Temu。 Temu在美国下载排行名列前茅,并在其他西方市场迅速扩张。
虽然Temu目前未受牵连,但拼多多涉嫌的行为可能会让Temu的全球扩张蒙上阴影。
目前并无证据显示拼多多将搜集的数据交给中国政府。但由于中国对管辖范围内的企业有重大影响力,美国国会议员担心任何在中国经营的公司,都可能被迫与中国政府合作包罗万象的安全议题。
CNN的调查发布前,谷歌(Google)3月份已将拼多多由Play商店下架,理由是在谷歌商店的版本发现恶意软体。
彭博(Bloomberg News)随后也有报导称有俄罗斯资安公司在拼多多App发现潜在恶意软体。
不过此前,拼多多驳斥他们App是恶意软体的指控与揣测。
“我从未见过这样的事情:”专家说,中国最受欢迎的应用程序之一有能力监视其用户
它是中国最受欢迎的购物应用程序之一,每月向超过 7.5 亿用户销售服装、杂货和几乎所有其他商品。
但据网络安全研究人员称,它还可以绕过用户的手机安全,以监控其他应用程序上的活动、查看通知、阅读私人消息和更改设置。
而且一旦安装,就很难移除。
虽然许多应用程序收集了大量用户数据,有时未经明确同意,但专家表示,电子商务巨头拼多多 已经将侵犯隐私和数据安全的行为提升到了一个新的水平。
在一项详细调查中,CNN 在收到举报后与来自亚洲、欧洲和美国的六个网络安全团队以及多名前任和现任拼多多员工进行了交谈。
多位专家发现拼多多应用程序中存在利用 Android 操作系统漏洞的恶意软件。公司内部人士表示,这些漏洞被用来监视用户和竞争对手,据称是为了促进销售。
芬兰网络安全公司 WithSecure 的首席研究官 Mikko Hyppönen 说:“我们还没有看到像这样的主流应用程序试图提升他们的权限以访问他们不应该访问的东西。”
“这非常不寻常,这对拼多多来说是非常可恶的。”
这是极不寻常的,对拼多多来说是相当可恶的。
Mikko Hyppönen,网络安全专家
恶意软件是恶意软件的简称,是指为窃取数据或干扰计算机系统和移动设备而开发的任何软件。
拼多多应用程序中存在复杂恶意软件的证据出现在对 TikTok 等中国开发的应用程序进行严格审查之际,出于对数据安全的担忧。
一些美国立法者正在推动在全国范围内禁止流行的短视频应用程序,该应用程序的首席执行官周寿上周因与中国政府的关系而被国会 盘问了五个小时。
这些爆料也可能会引起更多人关注拼多多的国际姊妹应用 Temu,该应用在美国下载排行榜上名列前茅,并在其他西方市场迅速扩张。两者均由在纳斯达克上市的拼多多所有,拼多多是一家扎根于中国的跨国公司。
虽然 Temu 没有受到牵连,但拼多多涉嫌的行为可能为其姊妹应用的全球扩张蒙上阴影。
没有证据表明拼多多已将数据交给中国政府。但由于北京对其管辖范围内的企业享有重大影响力,美国立法者担心任何在中国经营的公司都可能被迫与广泛的安全活动合作。
拼多多的母公司拼多多在纽约纳斯达克上市。
该调查结果是在谷歌于 3 月份暂停其 Play 商店的拼多多之后发布的,理由是在该应用程序的各个版本中发现了恶意软件。
彭博社随后的一份报告称,一家俄罗斯网络安全公司也在该应用程序中发现了潜在的恶意软件。
此前, 拼多多否认了“拼多多APP存在恶意的猜测和指控”。
走向成功拼多多拥有占中国网民四分之三的用户群, 市值是易趣 (EBAY)的三倍,它并不总是在线购物巨头。
这家初创公司于 2015 年由前谷歌员工Colin Huang 在上海创立,当时正努力在电子商务巨头阿里巴巴 (BABA)和京东 (JD)长期主导的市场中站稳脚跟。
它通过为朋友和家人的团购订单提供大幅折扣并专注于低收入农村地区而取得成功。
截至 2018 年底,拼多多在纽约上市的那一年,月度用户数 实现了三位数增长。不过,根据其财报,到 2020 年年中,月度用户增幅已放缓至 50% 左右,并将继续下降。
前谷歌员工 Colin Huang 于 2015 年在上海创立了拼多多。他于 2020 年卸任首席执行官,次年辞去董事长职务。
VCG/VCG/盖蒂图片社/文件
据拼多多现任员工称,2020 年,该公司成立了一个由约 100 名工程师和产品经理组成的团队,负责挖掘 Android 手机中的漏洞,开发利用这些漏洞的方法——并将其转化为利润。
据因害怕遭到报复而要求匿名的消息人士称,该公司最初只针对农村地区和小城镇的用户,而避开了北京和上海等特大城市的用户。
“目标是降低暴露的风险,”他们说。
消息人士称,通过收集有关用户活动的大量数据,该公司能够全面了解用户的习惯、兴趣和偏好。
他们说,这使其能够改进其机器学习模型,以提供更加个性化的推送通知和广告,吸引用户打开应用程序并下订单。
消息人士补充说,在有关他们活动的问题曝光后,该团队于 3 月初解散。
PDD 没有回复 CNN 多次要求对该团队发表评论的请求。
专家发现了什么CNN 接洽了特拉维夫网络公司 Check Point Research、特拉华州应用程序安全初创公司 Oversecured 和 Hyppönen 的 WithSecure 的研究人员,对 2 月下旬在中国应用程序商店发布的 6.49.0 版应用程序进行了独立分析。
Google Play 在中国不可用,该国的 Android 用户从本地商店下载他们的应用程序。今年 3 月,当谷歌暂停拼多多时,它表示在该应用程序的非播放版本中发现了恶意软件。
据专家称,研究人员发现了旨在实现“特权升级”的代码:一种利用易受攻击的操作系统来获得比预期更高级别的数据访问权限的网络攻击。
Hyppönen 说:“我们的团队已经对该代码进行了逆向工程,我们可以确认它试图提升权限,试图获取普通应用程序无法在 Android 手机上执行的操作。”
在中国,大约四分之三的智能手机用户使用的是安卓系统。
罗云飞/中新社/VCG/Getty Images
Hyppönen 说,该应用程序能够在后台继续运行并防止自身被卸载,这使其能够提高每月活跃用户率。他补充说,它还有能力通过跟踪其他购物应用程序上的活动并从中获取信息来监视竞争对手。
Check Point Research 还确定了该应用程序能够逃避审查的方式。
研究人员说,该应用程序部署了一种方法,允许它在没有旨在检测恶意应用程序的应用程序商店审查过程的情况下推送更新。
他们还在一些插件中发现了通过将潜在恶意组件隐藏在合法文件名下(例如 Google 的文件名)来掩盖潜在恶意组件的意图。
“这种技术被恶意软件开发者广泛使用,他们将恶意代码注入具有合法功能的应用程序,”他们说。
针对安卓在中国,大约四分之三的智能手机用户使用的是安卓系统。Wedbush Securities 的 Daniel Ives 表示, Apple (AAPL)的 iPhone 拥有 25% 的市场份额。
Oversecured 创始人 Sergey Toshin 表示,拼多多的恶意软件专门针对不同的基于 Android 的操作系统,包括三星、华为、小米和 Oppo 使用的操作系统。
CNN 已联系这些公司征求意见。
Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。
“我以前从未见过这样的事情。就像,超级膨胀,”他说。
大多数手机制造商在全球范围内定制核心 Android 软件,即 Android 开源项目 (AOSP),以将独特的功能和应用程序添加到他们自己的设备中。
Toshin发现拼多多利用了大约50个Android系统漏洞。他说,大多数漏洞利用都是为称为原始设备制造商 (OEM) 代码的定制部件量身定制的,与 AOSP 相比,这些代码往往较少被审计,因此更容易出现漏洞。
拼多多还利用了一些 AOSP 漏洞,包括 Toshin 在 2022 年 2 月向谷歌举报的一个漏洞。谷歌今年 3 月修复了这个漏洞,他说。
我以前从未见过这样的事情。就像,超级膨胀。
Sergey Toshin,Android 安全专家
根据 Toshin 的说法,这些漏洞允许拼多多在未经用户同意的情况下访问用户的位置、联系人、日历、通知和相册。他说,他们还能够更改系统设置并访问用户的社交网络帐户和聊天记录。
在 CNN 采访的六个团队中,有三个团队没有进行全面检查。但他们的初步审查显示,拼多多要求获得大量超出购物应用程序正常功能的权限。
奥地利林茨约翰内斯开普勒大学网络与安全研究所所长 René Mayrhofer 说,它们包括“潜在的侵入性权限”,例如“设置墙纸”和“在没有通知的情况下下载”。
2022 年 7 月,人们在北京地铁上使用手机。
谢尔顿库珀/SOPA Images/LightRocket/Getty Images
解散团队中国网络安全公司 Dark Navy于 2 月下旬在一份报告 中首次提出了对拼多多应用程序中恶意软件的怀疑。尽管该分析没有直接点名这家购物巨头,但该报告在其他确实点名了该公司的研究人员中迅速传播开来。一些分析师跟进了他们自己的报告,证实了最初的发现。
据 CNN 采访的两位专家称,不久之后,3 月 5 日,拼多多发布了其应用程序的新更新版本 6.50.0,删除了这些漏洞。
据拼多多消息人士透露,更新两天后,拼多多解散了开发漏洞的工程师和产品经理团队。
第二天,团队成员发现自己无法使用拼多多定制的工作场所通讯应用程序 Knock,也无法访问公司内部网络上的文件。消息人士称,工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。
团队中的大部分人都被转移到 Temu 工作。据消息人士称,他们被分配到子公司的不同部门,其中一些负责营销或开发推送通知。
他们说,一个由大约 20 名网络安全工程师组成的核心团队仍留在拼多多,他们专门从事发现和利用漏洞的工作。
研究更新的 Oversecured 的 Toshin 表示,虽然漏洞已被删除,但底层代码仍然存在,可以重新激活以进行攻击。
监督失败在中国政府从 2020 年底开始对大型科技公司 进行监管打压 的背景下,拼多多得以扩大其用户群。
那一年,工信部对非法收集和使用个人数据的应用程序 进行了全面打击。
2021 年,北京通过了首个全面的数据隐私立法。
《个人信息保护法》规定,任何人不得非法收集、处理、传输个人信息。他们还被禁止利用与互联网相关的安全漏洞或从事危害网络安全的行动。
技术政策专家表示,拼多多明显的恶意软件将违反这些法律,监管机构本应检测到。
“这会让工业和信息化部感到尴尬,因为这是他们的工作,”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多,而他们没有发现(任何东西)的事实让监管机构感到尴尬。”
该部定期发布名单,以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。它还发布了一份单独的应用程序列表,列出了因不符合规定而从应用程序商店中删除的应用程序。
拼多多没有出现在任何一个名单上。
他们应该检查拼多多,而他们没有发现(任何东西)的事实让监管机构感到尴尬。
Kendra Schaefer,技术政策专家
CNN已联系工信部和国家互联网信息办公室征求意见。
在中国社交媒体上,一些网络安全专家质疑为什么监管机构没有采取任何行动。
“可能我们的监管者都不懂编码和编程,也不了解技术。当它被推到你面前时,你甚至无法理解恶意代码,”一位拥有 180 万粉丝的网络安全专家上周在微博(类似 Twitter 的平台)上的一篇病毒式帖子中写道。
第二天,帖子就被删了。