專家:拼多多安插惡意軟件 監視用戶

【2023年04月03日訊】(記者陳霆綜合報導)網絡安全專家警告,中國電子商務巨頭拼多多的App,可利用手機安全漏洞,監視其它應用程序的活動、檢查通知、閱讀私人信息和更改設置等,將侵犯隱私和數據安全的行為,提升到了一個新水平。

拼多多」(Pinduoduo)是中國最受歡迎的購物應用程序之一,每月向超過7.5億用戶銷售服裝、雜貨和各式各樣的物品。然而,據CNN對6個網絡安全團隊,以及拼多多幾名前任、現任員工的採訪(鏈接),拼多多App中存在惡意軟件,該款App利用安卓系統(Android)漏洞,收集了大量的用戶數據。

公司內部人士稱,這些漏洞被用來監視用戶和競爭對手,據稱是為了促進銷售。

芬蘭網絡安全公司WithSecure的首席研究官海波寧(Mikko Hyppönen)說:「我們還沒有看過像這樣的主流應用程序,試圖升級他們的權限,以訪問他們不應該訪問的東西。」

今年3月,谷歌也表示,在拼多多App上發現惡意軟件,已將其從Google Play上下架,並展開調查。(了解更多

隨後,彭博社在一篇報導中指出(鏈接),總部位於莫斯科的卡巴斯基實驗室也在該App中發現了潛在的惡意軟件。

該消息可能引起人們對拼多多國際版「Temu」的擔憂。

Temu在美國下載排行榜上名列前茅,並在其它西方市場快速擴張。雖然Temu尚未出現相關指控,但拼多多的行為可能給Temu的全球擴張帶來負面影響。

目前,沒有證據表明拼多多將數據交給了中共政府。但由於中共對其管轄範圍內的企業有巨大的影響力,美國國會議員擔心任何在中國運營的公司,都可能被迫與中共合作。

拼多多沒有回應CNN的置評請求。

CNN表示,拼多多擁有多達中國網絡人口四分之三的用戶群,市值是eBay的三倍。

拼多多是在2015年,由谷歌前員工黃崢(Colin Huang)在上海創立,拼多多以團購並提供巨大折扣為主的銷售模式,成功進入了低收入的農村地區。

拼多多現任員工對說,在2020年,該公司成立了一個約100名工程師和產品經理組成的團隊,挖掘Android漏洞,開發利用這些漏洞的方法,並將其轉化為利潤。

這些匿名的消息人士表示,拼多多最初只針對農村地區和小城鎮的用戶,而避開北京和上海等大城市的用戶。

他們說:「目的是為了減少計劃曝光的風險。」

消息人士稱,通過收集大量用戶活動數據,拼多多能全面掌握用戶的習慣、興趣和偏好。

他們說,這使它能改進機器學習模型,提供更多個性化的推送通知和廣告,吸引用戶打開App並下訂單。

消息人士補充說,在行動被曝光後,該團隊於3月初解散了。

CNN聯繫了幾家網絡安全公司,包括以色列的Check Point Research、美國的Oversecured和芬蘭的WithSecure,請他們對2月下旬在中國應用商店發布的拼多多6.49.0版App進行獨立分析。

研究人員發現,拼多多程序中有一個「權限升級」的代碼,這是一種利用操作系統的漏洞,獲得更高級別的數據訪問權限的網絡攻擊。

海波寧說:「我們的團隊對該代碼進行了逆向工程,我們可以確認,它試圖升級權限,試圖獲得一般應用程序在安卓手機上無法執行的操作。」

在中國,大約四分之三的智能手機用戶使用的是安卓系統。

海波寧說,該App能繼續在後台運行,並防止自己被卸載,這能提高每月活躍用戶率。他補充說,它還能跟蹤其它購物App的活動,並從中獲取信息,監視競爭對手。

Check Point Research還發現,拼多多App能逃避審查。

研究人員表示,他們在一些插件中發現,該App將惡意組件隱藏在合法文件名下(例如Google的文件名),來掩蓋這些組件的意圖。

Oversecured創辦人謝爾蓋·托申(Sergey Toshin)說,拼多多的惡意軟件專門針對不同的安卓系統,包括三星、華為、小米和Oppo的系統。

托申表示,拼多多是主流應用程序中「最危險的惡意軟件」,他說:「我以前從未見過這樣的東西。」

托申發現,拼多多利用了大約50個安卓系統漏洞,其中大部分是原始設備製造商(OEM)代碼。

全球大多數手機製造商都針對核心安卓軟件,即安卓開源項目(AOSP)加入OEM代碼,以便為自己的設備添加獨特的功能。這些代碼往往更少被審計,也更容易出現漏洞。

拼多多還利用了一些AOSP漏洞,其中一個漏洞在2022年2月被托申標記給谷歌。他說,谷歌今年3月已修復了這個漏洞。

托申說,這些漏洞允許拼多多在未經用戶同意下,訪問用戶的位置、聯繫人、日曆、通知和相簿。他說,他們還能改變系統設置,訪問用戶的社交網絡賬戶和聊天記錄。

在CNN的調查中,另外三個安全團隊,沒有對拼多多App進行全面檢查。但他們的初步審查結果顯示,該App要求的大量權限,超出了一個購物應用程序的正常功能。

奧地利林茨約翰內斯開普勒大學網絡與安全研究所所長邁爾霍夫(René Mayrhofer)說,其中包括「潛在的侵入性權限」,例如「設置牆紙」和「不通知就下載」等。

在中國的社交媒體上,一些網絡安全專家質疑,為什麼中共監管機構沒有採取任何行動。

一位擁有180萬粉絲的網絡安全專家上週在微博上說:「可能我們的監管者沒有一個能理解編碼和編程,也不了解技術。當惡意代碼被推到你面前時,你甚至無法理解它。」

該帖子第二天就被刪除了。

看完這篇文章您覺得:

已經有 0 次投票 抢沙发
推薦文章
文章評論區

发表评论