本來周末吃瓜,突然看到一個驚得我下巴都快掉下來的新聞:
事發突然,就忽略截圖排版上的粗糙吧(呃,其實也從來沒精緻過)。這是CNN上的新聞,路透、彭博社也有類似報導。CNN這篇算是深度調查,如果最終被核實,我只能懷疑拼多多是不是瘋了。
看了幾個報導,我嘗試還原一下事情經過。上周谷歌在自己的應用商城裡下架了拼多多的應用,原因是涉嫌違規搜集用戶數據,被認定為惡意軟體。這件事《財新》有報導。再往回追溯,專門關注網絡安全的深藍洞察在2月28號發過一個某知名網際網路公司利用系統漏洞侵害用戶隱私的文章(連結)。該文沒有指明,但現在均認為是在說拼多多。
而CNN的報導里找了以色列、美國、芬蘭三家網絡安全公司分析拼多多的6.49.0版本應用,均發現該應用隱藏了惡意軟體,用以超越應用本身允許的權限來獲取用戶信息。
比如說以下內容:
阻止自己被卸載,在背景里一直運作,這被認為是增加月活用戶數。監控用戶在其它購物應用上的活動,這顯然是想(非法)獲得競爭對手信息。為了防止這種侵犯隱私的違規操作被發現,還設計了繞開應用商城搞更新的辦法。結論就是採用了大量惡意軟體開發者使用的招數。
以上都是針對安卓系統開發的。注意安卓的應用商城是分裂的。谷歌只能下架自己應用商城裡的拼多多應用,三星、小米、華為等都有自己的應用商城,而這些平台上的拼多多應用也存在同樣的漏洞——其實都不該說是漏洞,漏洞是軟體開發商非主觀刻意留下的弱點,拼多多這是故意搞的。
一位分析了拼多多應用的網絡安全專家的評價:
「從未見過這樣的東西。(利用漏洞)非常廣泛。」
CNN找到一位匿名拼多多員工描述了整個發展過程:
大概意思是2020年拼多多內部調集了100多名工程師,專門找安卓系統的漏洞來利用,一開始只針對農村等偏遠地區(擔心在北上廣搞容易被發現)。利用收集來的大量用戶信息,就能搞清楚用戶的習慣、喜好、興趣,這又讓拼多多可以提升自己的機器人學習模型,進而提供更多個性化的推送、廣告,吸引用戶下單。(這部分還真是絕大部分網際網路公司共同的尿性,但能專門開發惡意軟體再裝到自己的應用里,在網際網路大廠里也算是聞所未聞了)
下面這部分要是被核實,也是驚人的騷操作:
在事情快敗露時,3月5日拼多多更新了6.50.0版本,移除了之前的漏洞,兩天後把開發漏洞的團隊解散了…大部分被轉到力推的海外應用Temu里去了…(這個腦迴路有點清奇。。。是嫌國外的監管機構沒注意Temu的數據收集行為嗎?)
2021年,中國通過了《個人信息保護法》,以上拼多多涉嫌的行為,如經證實,應該說是把《個人信息保護法》從頭到尾違反了一遍。
之前寫TikTok時我也說過,過度收集用戶數據是如今網際網路公司的通病。可是根據這些報導,拼多多這腦洞開得實在太大了點……我能想到一家網際網路公司侵犯用戶隱私,但真想不到能有一家大廠用這種下三濫的手段侵犯隱私到這種程度。
所以我說,這些要是被核實,只能說拼多多瘋了……當然,CNN找了多家網絡安全公司都證實了,開應用商城的谷歌也認同了,甚至連俄羅斯的卡巴斯基都指出拼多多應用有問題:
只不過,說到底都是外媒和JWSL,一切還是以官方消息為準吧。
可出于謹慎,即日起,返傭商品暫時不再納入拼多多平台的東西了。
這兩天忙著吃某嗜賭明星瓜的朋友也可以關注一下拼多多這事,畢竟一不小心,自己反倒成了平台的瓜。
One more不重要的 thing(一個廣告,點此返回原文可看)
參考資料:
https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html
https://www.caixin.com/2023-03-21/102010563.html
