【新唐人北京时间2023年04月03日讯】中国应用程序拼多多,被发现可以绕过用户的手机安全,以监控其他应用程序上的活动、查看通知、阅读私人消息和更改设置。而且一旦安装,就很难移除。
据CNN报导,虽然许多应用程序都会收集大量用户数据,但专家表示,拼多多已经将侵犯隐私和数据安全的行为提升到了一个新的水平。
CNN报导说,在收到用户的举报后,他们做了一项详细的调查,调查对象包括来自亚洲、欧洲和美国的六个网络安全团队,还有多名前任和现任拼多多员工。
多位专家表示,拼多多程序利用Android操作系统漏洞安插恶意软件,而拼多多公司内部人士表示,这些漏洞被用来监视用户和竞争对手,目地是为了促进销售。
“我们还没有看到像这样的主流应用程序,提升权限访问他们不应该访问的东西”,芬兰网络安全公司With Secure的首席研究官米科·海波宁(Mikko Hyppönen)说,“这非常不寻常,这是非常可恶的。”
所谓恶意软件,是指为窃取数据或干扰计算机系统和移动设备而开发的软件。
谷歌在3月份暂停其Play商店的拼多多程序,理由是在该应用程序的各个版本中都发现了恶意软件。
随后,彭博社也在一份报告中称,一家俄罗斯网络安全公司也在该应用程序中发现了潜在的恶意软件。
针对安卓
拼多多的用户群占中国网民的3/4,这家初创公司于2015年由前谷歌员工黄峥在上海创立,主要是以团购提供大幅折扣和针对低收入群体区。2018年底,拼多多在纽约上市。
据拼多多现任员工称,2020年,该公司成立了一个由约100名工程师和产品经理组成的团队,负责挖掘Android手机中的漏洞,开发利用这些漏洞的方法,并将其转化为利润。
据因害怕遭到报复而要求匿名的消息人士称,该公司最初只针对农村地区和小城镇的用户,而避开北京和上海等大城市的用户,目地是“降低暴露的风险”。
此消息人士称,通过收集用户活动的大量数据,该公司能够全面了解用户的习惯、兴趣和偏好。这使该程序能够不断改进,以提供更加个性化的推送通知和广告,吸引用户打开应用程序并下订单。
此消息人士补充说,他们活动的被曝光后,该团队于3月初解散。
最危险的恶意软件
CNN联系了特拉维夫网络公司Check Point Research、特拉华州应用程序安全初创公司Oversecured和Hyppönen的With Secure的研究人员,对2月下旬在中国应用程序商店发布的拼多多6.49.0版应用程序进行了独立分析。
研究人员发现,拼多多程序中有一个“特权升级”的代码,这是一种利用操作系统的漏洞获得更高级别的数据访问权限的网络攻击。
海波宁说,“我们的团队已经对该代码进行了逆向工程,我们可以确认它试图提升权限,试图获取普通应用程序无法在Android手机上执行的操作。”
海波宁表示,该应用程序能够在后台继续运行并防止自身被卸载,这使其能够提高每月活跃用户率。
他补充说,它还有能力通过跟踪其它购物应用程序上的活动并从中获取信息来监视竞争对手。
Check Point Research还确定,该应用程序能够逃避审查。
研究人员表示,他们还在一些插件中发现,该程序将潜在恶意组件隐藏在合法文件名下(例如Google的文件名)来掩盖潜在恶意组件的意图。
研究人员说,“这种技术被恶意软件开发者广泛使用,他们将恶意代码注入具有合法功能的应用程序。”
Oversecured创始人谢尔盖·托申(Sergey Toshin)表示,拼多多的恶意软件专门针对不同的基于Android的操作系统,包括三星、华为、小米和Oppo使用的操作系统。
托申将拼多多描述为“最危险的恶意软件”。 他还发现,拼多多利用了大约50个Android的系统漏洞。
他说,大多数漏洞利用都是为被称为原始设备制造商(OEM)代码的订制部件量身定制的,与AOSP相比,这些代码往往更少被审计,因此更容易出现漏洞。
托申表示,拼多多还利用了一些AOSP漏洞,包括托申在2022年2月向谷歌举报的一个漏洞。谷歌今年3月修复了这个漏洞。
根据托申的说法,这些漏洞允许拼多多在未经用户同意的情况下访问用户的位置、联系人、日历、通知和相册。拼多多还能够更改系统设置并访问用户的社交网络账户和聊天记录。
在CNN采访的六个团队中,有三个团队没有进行全面检查。但他们的初步审查显示,拼多多获得的权限大大超出购物应用程序的正常功能。
奥地利林茨约翰内斯开普勒大学网络与安全研究所所长勒内·迈尔霍夫(René Mayrhofer)说,它们包括“潜在的侵入性权限”,例如“设置墙纸”和“在没有通知的情况下下载”。
美国国会正在推动在全国范围内禁止流行的短视频应用程序TikTok,该应用程序的首席执行官周受资上周因与中共的关系而被国会盘问了五个小时。
对拼多多的这些曝光,也可能会吸引更多人关注拼多多的国际应用程序Temu,该应用程序在美国下载排行榜上名列前茅,并在其它西方市场迅速扩张。
(记者李郦编译报导/责任编辑:胡龙)