中国知名互联网厂商拼多多（Pinduoduo）正深陷恶意代码的舆论风波。来自俄罗斯的卡巴斯基实验室的安全人员指出，安卓版本的拼多多App利用系统漏洞窃取用户隐私以及破坏数据安全。

彭博社报道称，卡巴斯基确信有证据表明，拼多多的早期版本利用系统软件漏洞安装了后门，并获得了未经授权的访问用户数据和通知的权限。

其实早在几周前，在Github上就有安全人员分析拼多多的恶意行为并提供详细的报告，阐述了拼多多是如何利用相关漏洞，以获取用户信息并以此达到用户活跃度提升等目的。

这份报告指出，以年为单位保守估计，通过强迫用户安装获得5千万新增用户，节省了1亿App推广费用；通过利用手机操作系统漏洞盗取大量用户隐私，从而更懂用户，并获得40%的用户触达提升，带动40%的GMV，强迫用户安装的行为包括，通过利用应用商店、微信浏览器、链接跳转漏洞配合社交裂变远程静默安装……

上周，谷歌（Google）已经在自家应用商店Google Play中下架拼多多App。谷歌发言人在一份声明中表示：「如果用户的设备上下载了恶意版本的应用程序，则会收到警告并提示他们卸载该应用程序。」

需要说明的是，谷歌所说的恶意版本是指在其应用商店以外渠道下载的软件，例如一些网站的安装包，或者是安卓中的其它应用商店。众所周知，中国大陆的安卓系统用户无法正常使用Google系服务，因此安装软件只能从其他渠道下载，像腾讯、华为、小米等应用商店。因此中国大陆用户受影响的可能性最大。

受财报表现不佳以及漏洞消息的影响，上周拼多多股价下跌近20%，本周继续延续跌势，截至美东时间周三收盘，拼多多报72.86美元。而3月初拼多多股价高点还是接近100美元。

有关拼多多利用漏洞的话题，在中国国内讨论的声音非常少。

一家安全公司早就指出过这一问题，只不过并未具名。中国国内安全公司深蓝（DarkNavy）在其《深蓝洞察｜2022 年度十大安全漏洞与利用》第十篇中，提及一「知名互联网厂商」挖掘新的安卓OEM相关漏洞，在其公开发布的App中实现对目前市场主流手机系统的漏洞攻击。

经过海外媒体的报道，大家已经明白了这一公司其实指的就是拼多多。

中国安全领域大V「sunwear」3月27日发布了一条抨击拼多多的微博，并质问监管部门为何对此视而不见。

拼多多的事还没完。俄罗斯知名反病毒软件卡巴斯基正式开锤拼多多。莫斯科卡巴斯基实验室的研究人员证实拼多多安装程序有恶意代码，破坏攻击用户手机系统。现在中美俄三国，除了中国都在锤拼多多，大概我们监管机构没有人看得懂代码和程序，也不懂技术。恶意代码摆在前面也不懂，即使全世界以你为敌。

然而，sunwear已经删除了有关微博。sunwear在3月初转发过拼多多侵犯用户隐私的微博，他表示拼多多更新后就销毁了有关代码，也就是销毁证据。那条微博已经被限制转发。国内社交媒体以及财经媒体也闭口不提相关事件。这显然是一种提示，提示人们这个话题是近期的禁区。原因不管是拼多多公关也好，权力部门的命令也好，这样的做法是快点风平浪静。哪怕是拼多多自己，面对最新的证据，也不再作回应。

一开始，拼多多上述的指责基本就采取一个态度，坚决地否认。

Github上的安全人员透露，拼多多投诉国内平台的分析文章，并且否认相关指控，表示拼多多严格遵守国家的相关法规。

针对谷歌下架以及外媒的相关报道，据TechCrunch，拼多多发言人Kong Ho在一封电子邮件中表示：「我们强烈拒绝一些匿名研究人员的猜测和指责，以及谷歌对拼多多应用程序恶意的非结论性回应。有几个应用程序同时在Google Play上被暂停，我们觉得TechCrunch选择单挑拼多多很奇怪。」

但经过卡巴斯基这一实锤性质的分析，拼多多至今为止还没有作出回应。彭博社提到，截至周一，PDD拒绝了关于其应用程序含有恶意代码的指控，周一没有回应评论请求。

拼多多也明白，如今外媒的指责影响不到国内，大不了销毁证据装作无事发生，国内对隐私的重视程度普遍不够，拼多多的用户更是这样。长期来看，此时的沉默是最好的应对方式。

拼多多在国内想必没有什么可以担忧的情况，而它在国外市场尚且处于起步阶段，这一事件能否造成影响，需要时间观察。

去年9月，拼多多进军北美市场，推出海外版拼多多：Temu。拼多多在海外扩张的思路可以说与国内如出一辙。以低价策略迅速起量，推出了打折券、新用户包邮等活动。打开官网，映入眼帘的是超低价格，几乎没有超过5美元的商品，甚至很多不到1美元，高至99%的打折优惠随处可见。

上线几个月后，Temu便推出类似国内「砍一刀」的拉新活动Referral Program。你邀请两位新的Temu用户即可获得20美元的现金奖励，新用户注册时需要使用到你的邀请码或链接。

与此同时，Temu通过大规模的营销活动来进一步助推销售增长，提升品牌知名度。今年2月份，Temu首次亮相「美国春晚」超级碗（Super Bowl），并且一次性投放两个广告。因为美国橄榄球联盟决赛的观众数量众多，超级碗的广告费异常昂贵，据悉，一次30秒的超级碗广告需要花费约700万美元。这一营销举措凸显了拼多多在海外市场扩张的决心。

根据YipitData的数据，Temu在运营的前五个月在美国实现了约5亿美元的商品交易总额（GMV）。在过去的几个月时间里，Temu通常是苹果美国App Store中下载量最大的应用。Sensor Tower的分析师Abe Yousef估计，自推出以来，Temu的下载量已达2400万次，截至1月，每月活跃用户约为1100万，比去年12月的购物季增长了47%。

目前Temu仍在快速扩张阶段，目前以美国市场为主，近期已在加拿大、澳大利亚和新西兰等国家上线。

总的来说，Temu的体量仍然很小，不足以引起美国监管部门的重视，况且这次主要是针对拼多多App。虽然Temu包含的敏感信息也很多，但在没有相关证据之前，造成不了多大的伤害，拼多多也不会停下海外业务发展的脚步。

拼多多固然可以复制国内的成功经验，但恐怕也需要分清楚哪些经验只能在国内成功。

参考链接：

https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf

https://techcrunch.com/2023/03/20/google-flags-apps-made-by-popular-chinese-e-commerce-giant-as-malware/

https://www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers

https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw

中国知名互联网厂商拼多多（Pinduoduo）正深陷恶意代码的舆论风波。来自俄罗斯的卡巴斯基实验室的安全人员指出，安卓版本的拼多多App利用系统漏洞窃取用户隐私以及破坏数据安全。

彭博社报道称，卡巴斯基确信有证据表明，拼多多的早期版本利用系统软件漏洞安装了后门，并获得了未经授权的访问用户数据和通知的权限。

其实早在几周前，在Github上就有安全人员分析拼多多的恶意行为并提供详细的报告，阐述了拼多多是如何利用相关漏洞，以获取用户信息并以此达到用户活跃度提升等目的。

这份报告指出，以年为单位保守估计，通过强迫用户安装获得5千万新增用户，节省了1亿App推广费用；通过利用手机操作系统漏洞盗取大量用户隐私，从而更懂用户，并获得40%的用户触达提升，带动40%的GMV，强迫用户安装的行为包括，通过利用应用商店、微信浏览器、链接跳转漏洞配合社交裂变远程静默安装……

上周，谷歌（Google）已经在自家应用商店Google Play中下架拼多多App。谷歌发言人在一份声明中表示：「如果用户的设备上下载了恶意版本的应用程序，则会收到警告并提示他们卸载该应用程序。」

需要说明的是，谷歌所说的恶意版本是指在其应用商店以外渠道下载的软件，例如一些网站的安装包，或者是安卓中的其它应用商店。众所周知，中国大陆的安卓系统用户无法正常使用Google系服务，因此安装软件只能从其他渠道下载，像腾讯、华为、小米等应用商店。因此中国大陆用户受影响的可能性最大。

受财报表现不佳以及漏洞消息的影响，上周拼多多股价下跌近20%，本周继续延续跌势，截至美东时间周三收盘，拼多多报72.86美元。而3月初拼多多股价高点还是接近100美元。

有关拼多多利用漏洞的话题，在中国国内讨论的声音非常少。

一家安全公司早就指出过这一问题，只不过并未具名。中国国内安全公司深蓝（DarkNavy）在其《深蓝洞察｜2022 年度十大安全漏洞与利用》第十篇中，提及一「知名互联网厂商」挖掘新的安卓OEM相关漏洞，在其公开发布的App中实现对目前市场主流手机系统的漏洞攻击。

经过海外媒体的报道，大家已经明白了这一公司其实指的就是拼多多。

中国安全领域大V「sunwear」3月27日发布了一条抨击拼多多的微博，并质问监管部门为何对此视而不见。

拼多多的事还没完。俄罗斯知名反病毒软件卡巴斯基正式开锤拼多多。莫斯科卡巴斯基实验室的研究人员证实拼多多安装程序有恶意代码，破坏攻击用户手机系统。现在中美俄三国，除了中国都在锤拼多多，大概我们监管机构没有人看得懂代码和程序，也不懂技术。恶意代码摆在前面也不懂，即使全世界以你为敌。

然而，sunwear已经删除了有关微博。sunwear在3月初转发过拼多多侵犯用户隐私的微博，他表示拼多多更新后就销毁了有关代码，也就是销毁证据。那条微博已经被限制转发。国内社交媒体以及财经媒体也闭口不提相关事件。这显然是一种提示，提示人们这个话题是近期的禁区。原因不管是拼多多公关也好，权力部门的命令也好，这样的做法是快点风平浪静。哪怕是拼多多自己，面对最新的证据，也不再作回应。

一开始，拼多多上述的指责基本就采取一个态度，坚决地否认。

Github上的安全人员透露，拼多多投诉国内平台的分析文章，并且否认相关指控，表示拼多多严格遵守国家的相关法规。

针对谷歌下架以及外媒的相关报道，据TechCrunch，拼多多发言人Kong Ho在一封电子邮件中表示：「我们强烈拒绝一些匿名研究人员的猜测和指责，以及谷歌对拼多多应用程序恶意的非结论性回应。有几个应用程序同时在Google Play上被暂停，我们觉得TechCrunch选择单挑拼多多很奇怪。」

但经过卡巴斯基这一实锤性质的分析，拼多多至今为止还没有作出回应。彭博社提到，截至周一，PDD拒绝了关于其应用程序含有恶意代码的指控，周一没有回应评论请求。

拼多多也明白，如今外媒的指责影响不到国内，大不了销毁证据装作无事发生，国内对隐私的重视程度普遍不够，拼多多的用户更是这样。长期来看，此时的沉默是最好的应对方式。

拼多多在国内想必没有什么可以担忧的情况，而它在国外市场尚且处于起步阶段，这一事件能否造成影响，需要时间观察。

去年9月，拼多多进军北美市场，推出海外版拼多多：Temu。拼多多在海外扩张的思路可以说与国内如出一辙。以低价策略迅速起量，推出了打折券、新用户包邮等活动。打开官网，映入眼帘的是超低价格，几乎没有超过5美元的商品，甚至很多不到1美元，高至99%的打折优惠随处可见。

上线几个月后，Temu便推出类似国内「砍一刀」的拉新活动Referral Program。你邀请两位新的Temu用户即可获得20美元的现金奖励，新用户注册时需要使用到你的邀请码或链接。

与此同时，Temu通过大规模的营销活动来进一步助推销售增长，提升品牌知名度。今年2月份，Temu首次亮相「美国春晚」超级碗（Super Bowl），并且一次性投放两个广告。因为美国橄榄球联盟决赛的观众数量众多，超级碗的广告费异常昂贵，据悉，一次30秒的超级碗广告需要花费约700万美元。这一营销举措凸显了拼多多在海外市场扩张的决心。

根据YipitData的数据，Temu在运营的前五个月在美国实现了约5亿美元的商品交易总额（GMV）。在过去的几个月时间里，Temu通常是苹果美国App Store中下载量最大的应用。Sensor Tower的分析师Abe Yousef估计，自推出以来，Temu的下载量已达2400万次，截至1月，每月活跃用户约为1100万，比去年12月的购物季增长了47%。

目前Temu仍在快速扩张阶段，目前以美国市场为主，近期已在加拿大、澳大利亚和新西兰等国家上线。

总的来说，Temu的体量仍然很小，不足以引起美国监管部门的重视，况且这次主要是针对拼多多App。虽然Temu包含的敏感信息也很多，但在没有相关证据之前，造成不了多大的伤害，拼多多也不会停下海外业务发展的脚步。

拼多多固然可以复制国内的成功经验，但恐怕也需要分清楚哪些经验只能在国内成功。

参考链接：

https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf

https://techcrunch.com/2023/03/20/google-flags-apps-made-by-popular-chinese-e-commerce-giant-as-malware/

https://www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers

https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw