本来周末吃瓜,突然看到一个惊得我下巴都快掉下来的新闻:

image

事发突然,就忽略截图排版上的粗糙吧(呃,其实也从来没精致过)。这是CNN上的新闻,路透、彭博社也有类似报道。CNN这篇算是深度调查,如果最终被核实,我只能怀疑拼多多是不是疯了。

CDT 档案卡
标题:这要是真的,只能说拼多多疯了
作者:Y博
来源:微信公众号“Y博的科普园”
发表日期:2023.4.4
主题归类:拼多多
CDS收藏:公民馆
版权说明:该作品版权归原作者所有。中国数字时代仅对原作进行存档,以对抗中国的网络审查。详细版权说明

看了几个报道,我尝试还原一下事情经过。上周谷歌在自己的应用商城里下架了拼多多的应用,原因是涉嫌违规搜集用户数据,被认定为恶意软件。这件事《财新》有报道。再往回追溯,专门关注网络安全的深蓝洞察在2月28号发过一个某知名互联网公司利用系统漏洞侵害用户隐私的文章(链接)。该文没有指明,但现在均认为是在说拼多多。

而CNN的报道里找了以色列、美国、芬兰三家网络安全公司分析拼多多的6.49.0版本应用,均发现该应用隐藏了恶意软件,用以超越应用本身允许的权限来获取用户信息。

比如说以下内容:

image

阻止自己被卸载,在背景里一直运作,这被认为是增加月活用户数。监控用户在其它购物应用上的活动,这显然是想(非法)获得竞争对手信息。为了防止这种侵犯隐私的违规操作被发现,还设计了绕开应用商城搞更新的办法。结论就是采用了大量恶意软件开发者使用的招数

以上都是针对安卓系统开发的。注意安卓的应用商城是分裂的。谷歌只能下架自己应用商城里的拼多多应用,三星、小米、华为等都有自己的应用商城,而这些平台上的拼多多应用也存在同样的漏洞——其实都不该说是漏洞,漏洞是软件开发商非主观刻意留下的弱点,拼多多这是故意搞的。

一位分析了拼多多应用的网络安全专家的评价:

image

“从未见过这样的东西。(利用漏洞)非常广泛。”

CNN找到一位匿名拼多多员工描述了整个发展过程:

image

大概意思是2020年拼多多内部调集了100多名工程师,专门找安卓系统的漏洞来利用,一开始只针对农村等偏远地区(担心在北上广搞容易被发现)。利用收集来的大量用户信息,就能搞清楚用户的习惯、喜好、兴趣,这又让拼多多可以提升自己的机器人学习模型,进而提供更多个性化的推送、广告,吸引用户下单。(这部分还真是绝大部分互联网公司共同的尿性,但能专门开发恶意软件再装到自己的应用里,在互联网大厂里也算是闻所未闻了)

下面这部分要是被核实,也是惊人的骚操作:

image

在事情快败露时,3月5日拼多多更新了6.50.0版本,移除了之前的漏洞,两天后把开发漏洞的团队解散了…大部分被转到力推的海外应用Temu里去了…(这个脑回路有点清奇。。。是嫌国外的监管机构没注意Temu的数据收集行为吗?)

2021年,中国通过了《个人信息保护法》,以上拼多多涉嫌的行为,如经证实,应该说是把《个人信息保护法》从头到尾违反了一遍。

之前写TikTok时我也说过,过度收集用户数据是如今互联网公司的通病。可是根据这些报道,拼多多这脑洞开得实在太大了点……我能想到一家互联网公司侵犯用户隐私,但真想不到能有一家大厂用这种下三滥的手段侵犯隐私到这种程度。

所以我说,这些要是被核实,只能说拼多多疯了……当然,CNN找了多家网络安全公司都证实了,开应用商城的谷歌也认同了,甚至连俄罗斯的卡巴斯基都指出拼多多应用有问题:

image

只不过,说到底都是外媒和JWSL,一切还是以官方消息为准吧。

可出于谨慎,即日起,返佣商品暂时不再纳入拼多多平台的东西了。

这两天忙着吃某嗜赌明星瓜的朋友也可以关注一下拼多多这事,毕竟一不小心,自己反倒成了平台的瓜。

One more 不重要的 thing(一个广告,点此返回原文可看)

参考资料:

https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html

https://www.caixin.com/2023-03-21/102010563.html