共產檔

CNN ｜2023-04-03  

中國廣受歡迎的「拚多多」購物App，日前被揭夾藏惡意軟體監控其他程式並可閱讀私訊、更改設定。專家表示這在主流程式中「前所未見」，在3月已遭Google商店下架。

美國有線電視新聞網（CNN）報導，「拚多多」是中國最受歡迎的購物電商之一，每月有超過7.5億用戶用他們的App購買服裝、雜貨等幾乎所有商品。但資安人員表示，它可繞過手機安全係統，監控其他應用程式活動、查看通知、閱讀私訊，甚至更改設定，且一旦安裝就很難移除。

雖然許多App也都未經當事人同意就搜集大量用戶數據，但專家表示，電商巨擘「拚多多」將隱私侵犯與危害資安提升到新境界。

CNN在收到檢舉後與來自亞洲、歐洲和美國的6個網路安全團隊乃至多名現、前任拚多多員工訪談。多位專家發現「拚多多」App中存有利用安卓（Android）作業係統漏洞的惡意軟體。拚多多內部人士稱這些漏洞用來監控用戶與競爭對手，據稱是為促進銷售成績。

芬蘭網絡安全公司WithSecure的首席研究官赫佩根（ Mikko Hypponen）說：「我們還未曾看過像這樣的主流App，試圖提升自己權限，讀取它們不應接觸的內容。」

「這非常不尋常，拚多多實在非常可惡。」

拚多多被爆夾藏複雜惡意軟體的證據，正值美國以資安及國安疑慮，對TikTok等中國所研發的App加強審查之際。

部分美國國會議員正推動全美禁用流行短影音App的TikTok，TikTok執行長周受資上周出席國會聽證會，接受兩黨議員長達5小時的拷問。

拚多多App爆出問題，可能會引起更多人關注它在國際上的姊妹應用程式Temu。 Temu在美國下載排行名列前茅，並在其他西方市場迅速擴張。

雖然Temu目前未受牽連，但拚多多涉嫌的行為可能會讓Temu的全球擴張蒙上陰影。

目前並無證據顯示拚多多將搜集的數據交給中國政府。但由於中國對管轄範圍內的企業有重大影響力，美國國會議員擔心任何在中國經營的公司，都可能被迫與中國政府合作包羅萬象的安全議題。

CNN的調查發布前，穀歌（Google）3月份已將拚多多由Play商店下架，理由是在穀歌商店的版本發現惡意軟體。

彭博（Bloomberg News）隨後也有報導稱有俄羅斯資安公司在拚多多App發現潛在惡意軟體。

不過此前，拚多多駁斥他們App是惡意軟體的指控與揣測。

“我從未見過這樣的事情：”專家說，中國最受歡迎的應用程序之一有能力監視其用戶

它是中國最受歡迎的購物應用程序之一，每月向超過 7.5 億用戶銷售服裝、雜貨和幾乎所有其他商品。

但據網絡安全研究人員稱，它還可以繞過用戶的手機安全，以監控其他應用程序上的活動、查看通知、閱讀私人消息和更改設置。

而且一旦安裝，就很難移除。

雖然許多應用程序收集了大量用戶數據，有時未經明確同意，但專家表示，電子商務巨頭拚多多 已經將侵犯隱私和數據安全的行為提升到了一個新的水平。

在一項詳細調查中，CNN 在收到舉報後與來自亞洲、歐洲和美國的六個網絡安全團隊以及多名前任和現任拚多多員工進行了交談。

多位專家發現拚多多應用程序中存在利用 Android 操作係統漏洞的惡意軟件。公司內部人士表示，這些漏洞被用來監視用戶和競爭對手，據稱是為了促進銷售。

芬蘭網絡安全公司 WithSecure 的首席研究官 Mikko Hyppönen 說：“我們還沒有看到像這樣的主流應用程序試圖提升他們的權限以訪問他們不應該訪問的東西。”

“這非常不尋常，這對拚多多來說是非常可惡的。”

這是極不尋常的，對拚多多來說是相當可惡的。

Mikko Hyppönen，網絡安全專家

惡意軟件是惡意軟件的簡稱，是指為竊取數據或幹擾計算機係統和移動設備而開發的任何軟件。

拚多多應用程序中存在複雜惡意軟件的證據出現在對 TikTok 等中國開發的應用程序進行嚴格審查之際，出於對數據安全的擔憂。

一些美國立法者正在推動在全國範圍內禁止流行的短視頻應用程序，該應用程序的首席執行官周壽上周因與中國政府的關係而被國會 盤問了五個小時。

這些爆料也可能會引起更多人關注拚多多的國際姊妹應用 Temu，該應用在美國下載排行榜上名列前茅，並在其他西方市場迅速擴張。兩者均由在納斯達克上市的拚多多所有，拚多多是一家紮根於中國的跨國公司。

雖然 Temu 沒有受到牽連，但拚多多涉嫌的行為可能為其姊妹應用的全球擴張蒙上陰影。

沒有證據表明拚多多已將數據交給中國政府。但由於北京對其管轄範圍內的企業享有重大影響力，美國立法者擔心任何在中國經營的公司都可能被迫與廣泛的安全活動合作。

該調查結果是在穀歌於 3 月份暫停其 Play 商店的拚多多之後發布的，理由是在該應用程序的各個版本中發現了惡意軟件。

彭博社隨後的一份報告稱，一家俄羅斯網絡安全公司也在該應用程序中發現了潛在的惡意軟件。

此前， 拚多多否認了“拚多多APP存在惡意的猜測和指控”。

走向成功拚多多擁有占中國網民四分之三的用戶群， 市值是易趣 (EBAY)的三倍，它並不總是在線購物巨頭。

這家初創公司於 2015 年由前穀歌員工Colin Huang 在上海創立，當時正努力在電子商務巨頭阿裏巴巴 (BABA)和京東 (JD)長期主導的市場中站穩腳跟。

它通過為朋友和家人的團購訂單提供大幅折扣並專注於低收入農村地區而取得成功。

截至 2018 年底，拚多多在紐約上市的那一年，月度用戶數 實現了三位數增長。不過，根據其財報，到 2020 年年中，月度用戶增幅已放緩至 50% 左右，並將繼續下降。

前穀歌員工 Colin Huang 於 2015 年在上海創立了拚多多。他於 2020 年卸任首席執行官，次年辭去董事長職務。VCG/VCG/蓋蒂圖片社/文件

據拚多多現任員工稱，2020 年，該公司成立了一個由約 100 名工程師和產品經理組成的團隊，負責挖掘 Android 手機中的漏洞，開發利用這些漏洞的方法——並將其轉化為利潤。

據因害怕遭到報複而要求匿名的消息人士稱，該公司最初隻針對農村地區和小城鎮的用戶，而避開了北京和上海等特大城市的用戶。

“目標是降低暴露的風險，”他們說。

消息人士稱，通過收集有關用戶活動的大量數據，該公司能夠全麵了解用戶的習慣、興趣和偏好。

他們說，這使其能夠改進其機器學習模型，以提供更加個性化的推送通知和廣告，吸引用戶打開應用程序並下訂單。

消息人士補充說，在有關他們活動的問題曝光後，該團隊於 3 月初解散。

PDD 沒有回複 CNN 多次要求對該團隊發表評論的請求。

專家發現了什麽CNN 接洽了特拉維夫網絡公司 Check Point Research、特拉華州應用程序安全初創公司 Oversecured 和 Hyppönen 的 WithSecure 的研究人員，對 2 月下旬在中國應用程序商店發布的 6.49.0 版應用程序進行了獨立分析。

Google Play 在中國不可用，該國的 Android 用戶從本地商店下載他們的應用程序。今年 3 月，當穀歌暫停拚多多時，它表示在該應用程序的非播放版本中發現了惡意軟件。

據專家稱，研究人員發現了旨在實現“特權升級”的代碼：一種利用易受攻擊的操作係統來獲得比預期更高級別的數據訪問權限的網絡攻擊。

Hyppönen 說：“我們的團隊已經對該代碼進行了逆向工程，我們可以確認它試圖提升權限，試圖獲取普通應用程序無法在 Android 手機上執行的操作。”

在中國，大約四分之三的智能手機用戶使用的是安卓係統。

Hyppönen 說，該應用程序能夠在後台繼續運行並防止自身被卸載，這使其能夠提高每月活躍用戶率。他補充說，它還有能力通過跟蹤其他購物應用程序上的活動並從中獲取信息來監視競爭對手。

Check Point Research 還確定了該應用程序能夠逃避審查的方式。

研究人員說，該應用程序部署了一種方法，允許它在沒有旨在檢測惡意應用程序的應用程序商店審查過程的情況下推送更新。

他們還在一些插件中發現了通過將潛在惡意組件隱藏在合法文件名下（例如 Google 的文件名）來掩蓋潛在惡意組件的意圖。

“這種技術被惡意軟件開發者廣泛使用，他們將惡意代碼注入具有合法功能的應用程序，”他們說。

針對安卓在中國，大約四分之三的智能手機用戶使用的是安卓係統。Wedbush Securities 的 Daniel Ives 表示， Apple (AAPL)的 iPhone 擁有 25% 的市場份額。

Oversecured 創始人 Sergey Toshin 表示，拚多多的惡意軟件專門針對不同的基於 Android 的操作係統，包括三星、華為、小米和 Oppo 使用的操作係統。

CNN 已聯係這些公司征求意見。

Toshin 將拚多多描述為主流應用程序中發現的“最危險的惡意軟件”。

“我以前從未見過這樣的事情。就像，超級膨脹，”他說。

大多數手機製造商在全球範圍內定製核心 Android 軟件，即 Android 開源項目 (AOSP)，以將獨特的功能和應用程序添加到他們自己的設備中。

Toshin發現拚多多利用了大約50個Android係統漏洞。他說，大多數漏洞利用都是為稱為原始設備製造商 (OEM) 代碼的定製部件量身定製的，與 AOSP 相比，這些代碼往往較少被審計，因此更容易出現漏洞。

拚多多還利用了一些 AOSP 漏洞，包括 Toshin 在 2022 年 2 月向穀歌舉報的一個漏洞。穀歌今年 3 月修複了這個漏洞，他說。

我以前從未見過這樣的事情。就像，超級膨脹。

Sergey Toshin，Android 安全專家

根據 Toshin 的說法，這些漏洞允許拚多多在未經用戶同意的情況下訪問用戶的位置、聯係人、日曆、通知和相冊。他說，他們還能夠更改係統設置並訪問用戶的社交網絡帳戶和聊天記錄。

在 CNN 采訪的六個團隊中，有三個團隊沒有進行全麵檢查。但他們的初步審查顯示，拚多多要求獲得大量超出購物應用程序正常功能的權限。

奧地利林茨約翰內斯開普勒大學網絡與安全研究所所長 René Mayrhofer 說，它們包括“潛在的侵入性權限”，例如“設置牆紙”和“在沒有通知的情況下下載”。

解散團隊中國網絡安全公司 Dark Navy於 2 月下旬在一份報告 中首次提出了對拚多多應用程序中惡意軟件的懷疑。盡管該分析沒有直接點名這家購物巨頭，但該報告在其他確實點名了該公司的研究人員中迅速傳播開來。一些分析師跟進了他們自己的報告，證實了最初的發現。

據 CNN 采訪的兩位專家稱，不久之後，3 月 5 日，拚多多發布了其應用程序的新更新版本 6.50.0，刪除了這些漏洞。

據拚多多消息人士透露，更新兩天後，拚多多解散了開發漏洞的工程師和產品經理團隊。

第二天，團隊成員發現自己無法使用拚多多定製的工作場所通訊應用程序 Knock，也無法訪問公司內部網絡上的文件。消息人士稱，工程師們還發現他們對大數據、數據表和日誌係統的訪問權限被撤銷。

團隊中的大部分人都被轉移到 Temu 工作。據消息人士稱，他們被分配到子公司的不同部門，其中一些負責營銷或開發推送通知。

他們說，一個由大約 20 名網絡安全工程師組成的核心團隊仍留在拚多多，他們專門從事發現和利用漏洞的工作。

研究更新的 Oversecured 的 Toshin 表示，雖然漏洞已被刪除，但底層代碼仍然存在，可以重新激活以進行攻擊。

監督失敗在中國政府從 2020 年底開始對大型科技公司 進行監管打壓 的背景下，拚多多得以擴大其用戶群。

那一年，工信部對非法收集和使用個人數據的應用程序 進行了全麵打擊。

2021 年，北京通過了首個全麵的數據隱私立法。

《個人信息保護法》規定，任何人不得非法收集、處理、傳輸個人信息。他們還被禁止利用與互聯網相關的安全漏洞或從事危害網絡安全的行動。

技術政策專家表示，拚多多明顯的惡意軟件將違反這些法律，監管機構本應檢測到。

“這會讓工業和信息化部感到尷尬，因為這是他們的工作，”谘詢公司 Trivium China 的技術政策專家 Kendra Schaefer 說。“他們應該檢查拚多多，而他們沒有發現（任何東西）的事實讓監管機構感到尷尬。”

該部定期發布名單，以點名和羞辱被發現破壞了用戶隱私或其他權利的應用程序。它還發布了一份單獨的應用程序列表，列出了因不符合規定而從應用程序商店中刪除的應用程序。

拚多多沒有出現在任何一個名單上。

他們應該檢查拚多多，而他們沒有發現（任何東西）的事實讓監管機構感到尷尬。

Kendra Schaefer，技術政策專家

CNN已聯係工信部和國家互聯網信息辦公室征求意見。

在中國社交媒體上，一些網絡安全專家質疑為什麽監管機構沒有采取任何行動。

“可能我們的監管者都不懂編碼和編程，也不了解技術。當它被推到你麵前時，你甚至無法理解惡意代碼，”一位擁有 180 萬粉絲的網絡安全專家上周在微博（類似 Twitter 的平台）上的一篇病毒式帖子中寫道。

第二天，帖子就被刪了。