中国知名互联网厂商拼多多(Pinduoduo)正深陷恶意代码的舆论风波。来自俄罗斯的卡巴斯基实验室的安全人员指出,安卓版本的拼多多App利用系统漏洞窃取用户隐私以及破坏数据安全。
彭博社报道称,卡巴斯基确信有证据表明,拼多多的早期版本利用系统软件漏洞安装了后门,并获得了未经授权的访问用户数据和通知的权限。
其实早在几周前,在Github上就有安全人员分析拼多多的恶意行为并提供详细的报告,阐述了拼多多是如何利用相关漏洞,以获取用户信息并以此达到用户活跃度提升等目的。
这份报告指出,以年为单位保守估计,通过强迫用户安装获得5千万新增用户,节省了1亿App推广费用;通过利用手机操作系统漏洞盗取大量用户隐私,从而更懂用户,并获得40%的用户触达提升,带动40%的GMV,强迫用户安装的行为包括,通过利用应用商店、微信浏览器、链接跳转漏洞配合社交裂变远程静默安装……
上周,谷歌(Google)已经在自家应用商店Google Play中下架拼多多App。谷歌发言人在一份声明中表示:「如果用户的设备上下载了恶意版本的应用程序,则会收到警告并提示他们卸载该应用程序。」
需要说明的是,谷歌所说的恶意版本是指在其应用商店以外渠道下载的软件,例如一些网站的安装包,或者是安卓中的其它应用商店。众所周知,中国大陆的安卓系统用户无法正常使用Google系服务,因此安装软件只能从其他渠道下载,像腾讯、华为、小米等应用商店。因此中国大陆用户受影响的可能性最大。
受财报表现不佳以及漏洞消息的影响,上周拼多多股价下跌近20%,本周继续延续跌势,截至美东时间周三收盘,拼多多报72.86美元。而3月初拼多多股价高点还是接近100美元。
有关拼多多利用漏洞的话题,在中国国内讨论的声音非常少。
一家安全公司早就指出过这一问题,只不过并未具名。中国国内安全公司深蓝(DarkNavy)在其《深蓝洞察|2022 年度十大安全漏洞与利用》第十篇中,提及一「知名互联网厂商」挖掘新的安卓OEM相关漏洞,在其公开发布的App中实现对目前市场主流手机系统的漏洞攻击。
经过海外媒体的报道,大家已经明白了这一公司其实指的就是拼多多。
中国安全领域大V「sunwear」3月27日发布了一条抨击拼多多的微博,并质问监管部门为何对此视而不见。
拼多多的事还没完。俄罗斯知名反病毒软件卡巴斯基正式开锤拼多多。莫斯科卡巴斯基实验室的研究人员证实拼多多安装程序有恶意代码,破坏攻击用户手机系统。现在中美俄三国,除了中国都在锤拼多多,大概我们监管机构没有人看得懂代码和程序,也不懂技术。恶意代码摆在前面也不懂,即使全世界以你为敌。
然而,sunwear已经删除了有关微博。sunwear在3月初转发过拼多多侵犯用户隐私的微博,他表示拼多多更新后就销毁了有关代码,也就是销毁证据。那条微博已经被限制转发。国内社交媒体以及财经媒体也闭口不提相关事件。这显然是一种提示,提示人们这个话题是近期的禁区。原因不管是拼多多公关也好,权力部门的命令也好,这样的做法是快点风平浪静。哪怕是拼多多自己,面对最新的证据,也不再作回应。
一开始,拼多多上述的指责基本就采取一个态度,坚决地否认。
Github上的安全人员透露,拼多多投诉国内平台的分析文章,并且否认相关指控,表示拼多多严格遵守国家的相关法规。
针对谷歌下架以及外媒的相关报道,据TechCrunch,拼多多发言人Kong Ho在一封电子邮件中表示:「我们强烈拒绝一些匿名研究人员的猜测和指责,以及谷歌对拼多多应用程序恶意的非结论性回应。有几个应用程序同时在Google Play上被暂停,我们觉得TechCrunch选择单挑拼多多很奇怪。」
但经过卡巴斯基这一实锤性质的分析,拼多多至今为止还没有作出回应。彭博社提到,截至周一,PDD拒绝了关于其应用程序含有恶意代码的指控,周一没有回应评论请求。
拼多多也明白,如今外媒的指责影响不到国内,大不了销毁证据装作无事发生,国内对隐私的重视程度普遍不够,拼多多的用户更是这样。长期来看,此时的沉默是最好的应对方式。
拼多多在国内想必没有什么可以担忧的情况,而它在国外市场尚且处于起步阶段,这一事件能否造成影响,需要时间观察。
去年9月,拼多多进军北美市场,推出海外版拼多多:Temu。拼多多在海外扩张的思路可以说与国内如出一辙。以低价策略迅速起量,推出了打折券、新用户包邮等活动。打开官网,映入眼帘的是超低价格,几乎没有超过5美元的商品,甚至很多不到1美元,高至99%的打折优惠随处可见。
上线几个月后,Temu便推出类似国内「砍一刀」的拉新活动Referral Program。你邀请两位新的Temu用户即可获得20美元的现金奖励,新用户注册时需要使用到你的邀请码或链接。
与此同时,Temu通过大规模的营销活动来进一步助推销售增长,提升品牌知名度。今年2月份,Temu首次亮相「美国春晚」超级碗(Super Bowl),并且一次性投放两个广告。因为美国橄榄球联盟决赛的观众数量众多,超级碗的广告费异常昂贵,据悉,一次30秒的超级碗广告需要花费约700万美元。这一营销举措凸显了拼多多在海外市场扩张的决心。
根据YipitData的数据,Temu在运营的前五个月在美国实现了约5亿美元的商品交易总额(GMV)。在过去的几个月时间里,Temu通常是苹果美国App Store中下载量最大的应用。Sensor Tower的分析师Abe Yousef估计,自推出以来,Temu的下载量已达2400万次,截至1月,每月活跃用户约为1100万,比去年12月的购物季增长了47%。
目前Temu仍在快速扩张阶段,目前以美国市场为主,近期已在加拿大、澳大利亚和新西兰等国家上线。
总的来说,Temu的体量仍然很小,不足以引起美国监管部门的重视,况且这次主要是针对拼多多App。虽然Temu包含的敏感信息也很多,但在没有相关证据之前,造成不了多大的伤害,拼多多也不会停下海外业务发展的脚步。
拼多多固然可以复制国内的成功经验,但恐怕也需要分清楚哪些经验只能在国内成功。
参考链接:
https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf