美国CNN的一项调查显示，拥有超7.5亿月活用户的中国电商平台拼多多，涉嫌利用安卓操作系统的漏洞来监视用户，以促进公司销售。

在一项详细的调查中，CNN在接到举报后采访了来自亚洲、欧洲和美国的六个网络安全团队，以及多名拼多多前任和现任员工。

多位专家发现拼多多应用程序存在恶意软件，该软件利用了安卓操作系统的漏洞。拼多多公司内部人士表示，这些漏洞被用来监视用户和竞争对手，据称是为了促进销售。

芬兰网络安全公司WithSecure的首席研究官Mikko Hypponen表示：“我们从未见过像这样的主流应用程序试图升级他们的特权，以访问他们本不应该访问的内容。”

“这非常不寻常，对拼多多来说是相当致命的，”Hypponen说。

恶意软件，指的是为窃取数据或干扰计算机系统和移动设备而开发的任何软件。

上述爆料，可能让拼多多的国际版应用Temu获得更多关注。这款应用目前在美国下载排行榜上高居榜首，也在其他西方市场快速扩张。

虽然Temu目前还没有受到牵连，但拼多多的涉嫌行为可能会给Temu的全球扩张蒙上阴影。

谷歌两周前暂停了拼多多在其Play Store的用户下载，理由是在该应用程序的多个版本中发现了恶意软件。

彭博社随后的一篇报道称，俄罗斯网络安全公司卡巴斯基实验室(Kaspersky Lab)也在拼多多应用程序中发现了潜在的恶意软件。

拼多多此前否认了“拼多多应用程序是恶意的猜测和指控”。

1. 走向成功

拼多多自称拥有占中国网民四分之三的用户群，市值是美国电商巨头eBay的三倍，但它并非一直都是在线购物巨头。

2015年，谷歌前员工黄峥在上海创立了拼多多，试图在一个长期由电商巨头阿里巴巴和京东主导的市场站稳脚跟。

拼多多的成功在于为亲友团购订单提供大幅折扣，并专注于低收入的农村地区。

直到2018年底，拼多多在纽约上市的那一年，该公司的月用户增长达到了三位数。然而，根据其收益报告，到2020年年中，月用户增幅已放缓至50%左右，并继续下降。

据拼多多的一名现任员工说，正是在2020年，该公司成立了一个由约100名工程师和产品经理组成的团队，挖掘安卓手机的漏洞，开发利用这些漏洞的方法，并将其转化为利润。

消息人士透露，拼多多最初只针对农村地区和小城镇的用户，而避开了北京和上海等大城市的用户。

“目的是为了减少被曝光的风险，”他们说。

据消息人士称，通过收集大量用户活动数据，该公司能够全面了解用户的习惯、兴趣和偏好。

他们说，这使拼多多能够改进其机器学习模型，提供更多个性化的推送通知和广告，吸引用户打开应用程序并下订单。

消息人士补充说，在有关他们活动的问题曝光后，该团队已于3月初解散。

2. 专家发现

在CNN的联系下，来自以色列特拉维夫网络公司Check Point Research、美国特拉华州应用安全初创公司Oversecured和芬兰网络安全公司WithSecure的研究人员对2月底在中国应用商店发布的6.49.0版本的拼多多应用进行了独立分析。

Google Play在中国无法使用，中国的安卓用户可以从本地商店下载他们的应用。今年3月，谷歌暂停了拼多多应用程序下载，称在该应用的非Play版本中发现了恶意软件。

据专家称，研究人员发现了旨在实现“权限升级”的代码，它是一种网络攻击，利用脆弱的操作系统获得比本应有的更高级别的数据访问权限。

Hypponen表示：“我们的团队对这段代码进行了逆向工程，我们可以确认，它试图提升权限，试图访问正常应用程序在安卓手机上无法访问的东西。”

Hypponen表示，该应用程序能够继续在后台运行，并防止自己被卸载，这使得它的月活跃用户率得以提高。他补充说，它还能够通过跟踪其他购物应用程序的活动来监视竞争对手，并从中获取信息。

以色列网络公司Check Point Research还发现了该应用程序能够逃避审查的方法

研究人员说，这款应用部署了一种方法，允许它在没有经历应用商店审查程序的情况下推送更新，逃脱掉应用商店检测恶意应用程序的审查过程。

他们还在拼多多应用程序的一些插件中发现，通过将潜在的恶意组件隐藏在合法的文件名下，例如谷歌的文件名，来掩盖这些组件的意图。

“这种技术被恶意软件开发人员广泛使用，他们将恶意代码注入具有合法功能的应用程序中，”他们说。

3. 针对安卓系统

在中国，大约四分之三的智能手机用户使用安卓系统。美国投资银行Wedbush的高级分析师Daniel Ives称，苹果的iPhone在中国占据了25%的市场份额。

Oversecured创始人Sergey Toshin说，拼多多的恶意软件专门针对不同的安卓操作系统，包括三星、华为、小米和Oppo使用的操作系统。

Toshin称拼多多是主流应用程序中发现的“最危险的恶意软件”。

全球大多数手机制造商都对核心安卓软件，即安卓开源项目(AOSP)进行了定制，以便为自己的设备添加独特的功能和应用程序。

Toshin发现拼多多利用了大约50个安卓系统漏洞。他说，大多数漏洞都是为原始设备制造商(OEM)代码定制的，这些代码往往比AOSP更少被审计，因此更容易出现漏洞。

拼多多还利用了一些AOSP漏洞，包括Toshin在2022年2月标记的谷歌漏洞。他说，谷歌在今年3月修复了这个漏洞。

“我以前从未见过这样的东西。这就像，超级膨胀的，”Toshin说。

根据Toshin的说法，这些漏洞允许拼多多在未经用户同意的情况下访问用户的位置、联系人、日历、通知和相册。  他说，他们还能够改变系统设置，访问用户的社交网络账户和聊天记录。

在CNN为这篇报道采访的六个团队中，有三个没有进行全面检查。但他们的初步审查显示，拼多多要求的大量权限超出了一个购物应用程序的正常功能。

奥地利约翰·开普勒林茨大学(Johannes Kepler Universit?t Linz)网络与安全研究所的负责人René Mayrhofer说，这些权限包括“潜在的侵入性权限”，如“设置壁纸”和“未通知就下载”。

4. 解散团队

今年2月底，中国知名独立数据安全研究服务机构DarkNavy深蓝在一份报告中首次提出了对拼多多应用中存在恶意软件的怀疑。

尽管该分析没有直接点名这家电商巨头，但该报告很快在其他研究人员中传播开来，他们确实点出了这家公司。 一些分析师随后发布了他们自己的报告，证实了最初的发现。

据CNN采访的两位专家称，不久之后，3月5日，拼多多发布了其应用程序的6.50.0版新更新，删除了这些漏洞。

根据拼多多消息人士的说法，更新后两天，拼多多解散了开发这些漏洞的工程师和产品经理团队。

第二天，团队成员发现自己无法访问拼多多定制的职场通讯应用Knock，并且无法访问公司内部网络上的文件。

消息人士说，工程师们还发现他们对大数据、数据表和日志系统的访问权限被取消。

团队中的大多数人都被调到了Temu工作。 据消息人士称，他们被分配到Temu的不同部门，其中一些人负责营销或开发推送通知。

他们说，拼多多仍有一个由大约20名网络安全工程师组成的核心团队，专门负责寻找和利用漏洞。

Oversecured的Toshin调查了这次更新，他表示，尽管漏洞被删除了，但底层代码仍然存在，可以重新激活以进行攻击。

5. 监管失败

中国政府从2020年底开始对大型科技公司进行监管，在此背景下，拼多多的用户基数仍在增长。

2020年，中国工业和信息化部(“工信部”)对非法收集和使用个人数据的应用程序进行了全面打击。

中国首部有关数据安全的专门法律《中华人民共和国数据安全法》，于2021年6月通过，2021年9月1日正式施行。

2021年11月1日中国正式实施的《个人信息保护法》规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息。

中国工信部还联合国家互联网信息办公室和公安部一同推出《网络产品安全漏洞管理规定》，自2021年9月1日起施行。

该规定指出，任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动。

科技政策专家说，拼多多明显的恶意软件违反了这些法律，并且应该被监管机构发现。

中国工信部定期发布名单，点名批评那些被发现侵犯用户隐私或其他权利的应用程序。该监管机构公布了一份单独的名单，列出了因不符合规定而被从应用商店删除的应用程序。

值得注意的是，拼多多没有出现在任何一个榜单上。

北京策纬咨询公司(Trivium China)的技术政策专家Kendra Schaefer说：“他们应该审查拼多多。”

在中国社交媒体上，一些网络安全专家质疑监管机构为什么没有采取任何行动。

中国网络安全专家sunwear，在社交平台微博上拥有188万粉丝，他在3月27日发文写道：“大概我们监管机构没有人看得懂代码和程序，也不懂技术。恶意代码摆在面前也看不懂，即使全世界以你为敌。”

声明：观点文章以及未署名美国商业新闻社为来源的文章，均不代表美国商业新闻社立场，也不代表美国商业新闻社赞同该文，仅供读者参考。

主编精选，篇篇重磅，请点击订阅“邮件订阅”