本来周末吃瓜,突然看到一个惊得我下巴都快掉下来的新闻: 事发突然,就忽略截图排版上的粗糙吧(呃,其实也从来没精致过)。这是CNN上的新闻,路透、彭博社也有类似报道。CNN这篇算是深度调查,如果最终被核实,我只能怀疑拼多多是不是疯了。 看了几个报道,我尝试还原一下事情经过。上周谷歌在自己的应用商城里下架了拼多多的应用,原因是涉嫌违规搜集用户数据,被认定为恶意软件。这件事《财新》有报道。再往回追溯,专门关注网络安全的深蓝洞察在2月28号发过一个某知名互联网公司利用系统漏洞侵害用户隐私的文章(链接)。该文没有指明,但现在均认为是在说拼多多。 而CNN的报道里找了以色列、美国、芬兰三家网络安全公司分析拼多多的6.49.0版本应用,均发现该应用隐藏了恶意软件,用以超越应用本身允许的权限来获取用户信息。 比如说以下内容: 阻止自己被卸载,在背景里一直运作,这被认为是增加月活用户数。监控用户在其它购物应用上的活动,这显然是想(非法)获得竞争对手信息。为了防止这种侵犯隐私的违规操作被发现,还设计了绕开应用商城搞更新的办法。结论就是采用了大量恶意软件开发者使用的招数。 以上都是针对安卓系统开发的。注意安卓的应用商城是分裂的。谷歌只能下架自己应用商城里的拼多多应用,三星、小米、华为等都有自己的应用商城,而这些平台上的拼多多应用也存在同样的漏洞——其实都不该说是漏洞,漏洞是软件开发商非主观刻意留下的弱点,拼多多这是故意搞的。 一位分析了拼多多应用的网络安全专家的评价: “从未见过这样的东西。(利用漏洞)非常广泛。” CNN找到一位匿名拼多多员工描述了整个发展过程: 大概意思是2020年拼多多内部调集了100多名工程师,专门找安卓系统的漏洞来利用,一开始只针对农村等偏远地区(担心在北上广搞容易被发现)。利用收集来的大量用户信息,就能搞清楚用户的习惯、喜好、兴趣,这又让拼多多可以提升自己的机器人学习模型,进而提供更多个性化的推送、广告,吸引用户下单。(这部分还真是绝大部分互联网公司共同的尿性,但能专门开发恶意软件再装到自己的应用里,在互联网大厂里也算是闻所未闻了) 下面这部分要是被核实,也是惊人的骚操作: 在事情快败露时,3月5日拼多多更新了6.50.0版本,移除了之前的漏洞,两天后把开发漏洞的团队解散了…大部分被转到力推的海外应用Temu里去了…(这个脑回路有点清奇。。。是嫌国外的监管机构没注意Temu的数据收集行为吗?) 2021年,中国通过了《个人信息保护法》,以上拼多多涉嫌的行为,如经证实,应该说是把《个人信息保护法》从头到尾违反了一遍。 之前写TikTok时我也说过,过度收集用户数据是如今互联网公司的通病。可是根据这些报道,拼多多这脑洞开得实在太大了点……我能想到一家互联网公司侵犯用户隐私,但真想不到能有一家大厂用这种下三滥的手段侵犯隐私到这种程度。 所以我说,这些要是被核实,只能说拼多多疯了……当然,CNN找了多家网络安全公司都证实了,开应用商城的谷歌也认同了,甚至连俄罗斯的卡巴斯基都指出拼多多应用有问题: 只不过,说到底都是外媒和JWSL,一切还是以官方消息为准吧。 可出于谨慎,即日起,返佣商品暂时不再纳入拼多多平台的东西了。 这两天忙着吃某嗜赌明星瓜的朋友也可以关注一下拼多多这事,毕竟一不小心,自己反倒成了平台的瓜。 One more 不重要的 thing(一个广告,点此返回原文可看) 参考资料: https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html https://www.caixin.com/2023-03-21/102010563.html
本来周末吃瓜,突然看到一个惊得我下巴都快掉下来的新闻:
事发突然,就忽略截图排版上的粗糙吧(呃,其实也从来没精致过)。这是CNN上的新闻,路透、彭博社也有类似报道。CNN这篇算是深度调查,如果最终被核实,我只能怀疑拼多多是不是疯了。
看了几个报道,我尝试还原一下事情经过。上周谷歌在自己的应用商城里下架了拼多多的应用,原因是涉嫌违规搜集用户数据,被认定为恶意软件。这件事《财新》有报道。再往回追溯,专门关注网络安全的深蓝洞察在2月28号发过一个某知名互联网公司利用系统漏洞侵害用户隐私的文章(链接)。该文没有指明,但现在均认为是在说拼多多。
而CNN的报道里找了以色列、美国、芬兰三家网络安全公司分析拼多多的6.49.0版本应用,均发现该应用隐藏了恶意软件,用以超越应用本身允许的权限来获取用户信息。
比如说以下内容:
阻止自己被卸载,在背景里一直运作,这被认为是增加月活用户数。监控用户在其它购物应用上的活动,这显然是想(非法)获得竞争对手信息。为了防止这种侵犯隐私的违规操作被发现,还设计了绕开应用商城搞更新的办法。结论就是采用了大量恶意软件开发者使用的招数。
以上都是针对安卓系统开发的。注意安卓的应用商城是分裂的。谷歌只能下架自己应用商城里的拼多多应用,三星、小米、华为等都有自己的应用商城,而这些平台上的拼多多应用也存在同样的漏洞——其实都不该说是漏洞,漏洞是软件开发商非主观刻意留下的弱点,拼多多这是故意搞的。
一位分析了拼多多应用的网络安全专家的评价:
“从未见过这样的东西。(利用漏洞)非常广泛。”
CNN找到一位匿名拼多多员工描述了整个发展过程:
大概意思是2020年拼多多内部调集了100多名工程师,专门找安卓系统的漏洞来利用,一开始只针对农村等偏远地区(担心在北上广搞容易被发现)。利用收集来的大量用户信息,就能搞清楚用户的习惯、喜好、兴趣,这又让拼多多可以提升自己的机器人学习模型,进而提供更多个性化的推送、广告,吸引用户下单。(这部分还真是绝大部分互联网公司共同的尿性,但能专门开发恶意软件再装到自己的应用里,在互联网大厂里也算是闻所未闻了)
下面这部分要是被核实,也是惊人的骚操作:
在事情快败露时,3月5日拼多多更新了6.50.0版本,移除了之前的漏洞,两天后把开发漏洞的团队解散了…大部分被转到力推的海外应用Temu里去了…(这个脑回路有点清奇。。。是嫌国外的监管机构没注意Temu的数据收集行为吗?)
2021年,中国通过了《个人信息保护法》,以上拼多多涉嫌的行为,如经证实,应该说是把《个人信息保护法》从头到尾违反了一遍。
之前写TikTok时我也说过,过度收集用户数据是如今互联网公司的通病。可是根据这些报道,拼多多这脑洞开得实在太大了点……我能想到一家互联网公司侵犯用户隐私,但真想不到能有一家大厂用这种下三滥的手段侵犯隐私到这种程度。
所以我说,这些要是被核实,只能说拼多多疯了……当然,CNN找了多家网络安全公司都证实了,开应用商城的谷歌也认同了,甚至连俄罗斯的卡巴斯基都指出拼多多应用有问题:
只不过,说到底都是外媒和JWSL,一切还是以官方消息为准吧。
可出于谨慎,即日起,返佣商品暂时不再纳入拼多多平台的东西了。
这两天忙着吃某嗜赌明星瓜的朋友也可以关注一下拼多多这事,毕竟一不小心,自己反倒成了平台的瓜。
One more 不重要的 thing(一个广告,点此返回原文可看)
参考资料:
https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html
https://www.caixin.com/2023-03-21/102010563.html