美媒驚爆：拼多多繞過用戶手機安全 安插惡意軟體

2020年11月18日，在中國廣州南沙的廣州南沙花園酒店舉行的CNBC East Tech West，拼多多戰略副總裁劉大衛與CNBC高級記者Arjun Kharpal。

中國應用程式拼多多，被發現可以繞過用戶的手機安全，以監控其他應用程式上的活動、查看通知、閱讀私人消息和更改設置。而且一旦安裝，就很難移除。

據CNN報導，雖然許多應用程式都會收集大量用戶數據，但專家表示，拼多多已經將侵犯隱私和數據安全的行為提升到了一個新的水平。

CNN報導說，在收到用戶的舉報後，他們做了一項詳細的調查，調查對象包括來自亞洲、歐洲和美國的六個網絡安全團隊，還有多名前任和現任拼多多員工。

多位專家表示，拼多多程序利用Android作業系統漏洞安插惡意軟體，而拼多多公司內部人士表示，這些漏洞被用來監視用戶和競爭對手，目地是為了促進銷售。

「我們還沒有看到像這樣的主流應用程式，提升權限訪問他們不應該訪問的東西」，芬蘭網絡安全公司With Secure的首席研究官米科·海波寧（Mikko Hyppönen）說，「這非常不尋常，這是非常可惡的。」

所謂惡意軟體，是指為竊取數據或干擾計算機系統和行動裝置而開發的軟體。

谷歌在3月份暫停其Play商店的拼多多程序，理由是在該應用程式的各個版本中都發現了惡意軟體。

隨後，彭博社也在一份報告中稱，一家俄羅斯網絡安全公司也在該應用程式中發現了潛在的惡意軟體。

針對安卓

拼多多的用戶群占中國網民的3/4，這家初創公司於2015年由前谷歌員工黃崢在上海創立，主要是以團購提供大幅折扣和針對低收入群體區。2018年底，拼多多在紐約上市。

據拼多多現任員工稱，2020年，該公司成立了一個由約100名工程師和產品經理組成的團隊，負責挖掘Android手機中的漏洞，開發利用這些漏洞的方法，並將其轉化為利潤。

據因害怕遭到報復而要求匿名的消息人士稱，該公司最初只針對農村地區和小城鎮的用戶，而避開北京和上海等大城市的用戶，目地是「降低暴露的風險」。

此消息人士稱，通過收集用戶活動的大量數據，該公司能夠全面了解用戶的習慣、興趣和偏好。這使該程序能夠不斷改進，以提供更加個性化的推送通知和廣告，吸引用戶打開應用程式並下訂單。

此消息人士補充說，他們活動的被曝光後，該團隊於3月初解散。

最危險的惡意軟體

CNN聯繫了特拉維夫網絡公司Check Point Research、德拉瓦州應用程式安全初創公司Oversecured和Hyppönen的With Secure的研究人員，對2月下旬在中國應用程式商店發布的拼多多6.49.0版應用程式進行了獨立分析。

研究人員發現，拼多多程序中有一個「特權升級」的代碼，這是一種利用作業系統的漏洞獲得更高級別的數據訪問權限的網絡攻擊。

海波寧說，「我們的團隊已經對該代碼進行了逆向工程，我們可以確認它試圖提升權限，試圖獲取普通應用程式無法在Android手機上執行的操作。」

海波寧表示，該應用程式能夠在後台繼續運行並防止自身被卸載，這使其能夠提高每月活躍用戶率。

他補充說，它還有能力通過跟蹤其它購物應用程式上的活動並從中獲取信息來監視競爭對手。

Check Point Research還確定，該應用程式能夠逃避審查。

研究人員表示，他們還在一些插件中發現，該程序將潛在惡意組件隱藏在合法文件名下（例如Google的文件名）來掩蓋潛在惡意組件的意圖。

研究人員說，「這種技術被惡意軟體開發者廣泛使用，他們將惡意代碼注入具有合法功能的應用程式。」

Oversecured創始人謝爾蓋·托申（Sergey Toshin）表示，拼多多的惡意軟體專門針對不同的基於Android的作業系統，包括三星、華為、小米和Oppo使用的作業系統。

托申將拼多多描述為「最危險的惡意軟體」。他還發現，拼多多利用了大約50個Android的系統漏洞。

他說，大多數漏洞利用都是為被稱為原始設備製造商（OEM）代碼的訂製部件量身定製的，與AOSP相比，這些代碼往往更少被審計，因此更容易出現漏洞。

托申表示，拼多多還利用了一些AOSP漏洞，包括托申在2022年2月向谷歌舉報的一個漏洞。谷歌今年3月修復了這個漏洞。

根據托申的說法，這些漏洞允許拼多多在未經用戶同意的情況下訪問用戶的位置、聯繫人、日曆、通知和相冊。拼多多還能夠更改系統設置並訪問用戶的社交網絡帳戶和聊天記錄。

在CNN採訪的六個團隊中，有三個團隊沒有進行全面檢查。但他們的初步審查顯示，拼多多獲得的權限大大超出購物應用程式的正常功能。

奧地利林茨約翰內斯克卜勒大學網絡與安全研究所所長勒內·邁爾霍夫（René Mayrhofer）說，它們包括「潛在的侵入性權限」，例如「設置壁紙」和「在沒有通知的情況下下載」。

美國國會正在推動在全國範圍內禁止流行的短視頻應用程式TikTok，該應用程式的執行長周受資上周因與中共的關係而被國會盤問了五個小時。

對拼多多的這些曝光，也可能會吸引更多人關注拼多多的國際應用程式Temu，該應用程式在美國下載排行榜上名列前茅，並在其它西方市場迅速擴張。