恶意入侵事件
2023 年 3 月,卡巴斯基实验室在一份报告中指出,拼多多 App 挖掘安卓系统漏洞侵入用户手机。
还会使用拼多多吗
在事件被爆出后一年多的今天,我在一个论坛看到讨论。有相当一部分的人没有听说过这件事,听说过的人中如果之前就在使用拼多多的人,大都没有受到这件事的影响,仍然会使用拼多多。
为什么
「使用体验好」
「拼多多的打开速度非常快,比淘宝和京东要快得多,同时购物下单的流程体验也非常好。」这是比较注重用户体验的人群给出的看法。
「便宜」
什么都架不住便宜二字。
很多人都给出了这个答案,包括一些明知拼多多入侵行为的人。拼多多商品的价格非常有吸引力,有一位商家给出的原因是拼多多的抽成非常低;同时商家推广效果非常好,投入产出比高。
「iOS 系统没关系吧」
拼多多被爆出的行为是利用安卓系统漏洞,iOS 系统理论上来说还没有确凿的威胁。但是这无异于一个流氓无赖没有欺负到自己头上,就放心让他进家来,还同他做生意。
「中国隐私都泄露了,无法保护,所以不关注」
这位朋友显然已经「看透了」中国公民个人隐私的现状,并且看得出有一些失望。
这个问题得分成两点来说。
第一,无论在哪里,我们的个人隐私都可以被保护,也值得被保护。即便有部分隐私信息被泄露了,但是仍然可以采取措施减少对自己的损害,以及防止更多的信息被泄露。个人隐私越容易被泄露,反而我们应该采取更加严格的防范措施。
我相信任何人都不会主动愿意公布自己所有的隐私信息吧,你可以对现状不满意,但是请不要放弃自己的权利。
第二,拼多多的入侵行为与我们司空见惯的「过度搜集隐私」问题,以及更严重一些的「隐私信息泄露」问题也就是俗称的「脱库」问题,都不能混为一谈。拼多多的行为造成的危害不仅仅是隐私问题,要严重得多。
「这不是我操心的事情,应该由政府来管」
一语中的。拼多多的行为,我想已经涉嫌违反多项中国法律法规。但是很显然,它没有被追究任何责任。
有人在自己的手机乃至国家都能胡作非为,并且只需要承担极小的代价甚至无需承担代价,我想这就是最值得我们关注的事情。
「说这个有用吗」
诚然,我们现在能做的事情很少,但是如果我们因此就置身事外、视而不见,那么留给我们的空间只会越来越小。
至少我们还有铭记的权利。至少我们还有拒绝的权利。
「这是很普遍的事情」
这个事件一点也不普遍。
到底发生了什么
2020 年末。浙大天才黑客 Flanker 被拼多多强制辞退,并被抵赖上亿期权。被安全界人士解读为不愿为拼多多做黑客攻击行为。
2023 年 2 月 28 日。深蓝发布文章《「 深蓝洞察 」2022 年度最“不可赦”漏洞》,指出在 2022 年,「某知名互联网厂商」挖掘安卓系统漏洞,通过 App 攻击数亿用户手机,控制整个手机系统。达到了:
隐蔽安装,提升装机量
伪造提升 DAU/MAU
用户无法卸载
攻击竞争对手 App
窃取用户隐私数据
逃避隐私合规监管
等各种涉嫌违规违法目的。
2023 年 3 月 21 日。拼多多 App 在谷歌 Play 商店被下架。原因是存在恶意软件问题。并且至今未重新上架。
2023 年 3 月 27 日。卡巴斯基公布 29 页 报告,详细列举出拼多多利用漏洞控制用户手机行为:
以年为单位保守估计,通过强迫用户安装获得 5 千万的新增用户,节省了 1 亿 App 推广费用;通过利用手机操作系统漏洞盗取大量用户隐私,从而更懂用户,并获得 40% 的用户触达提升,带动 40% 的 GMV……
通过利用应用商店、微信浏览器、链接跳转漏洞配合社交裂变远程静默安装……
利用安卓系统和 OEM 漏洞提权成为超级用户,然后安装后门驻留系统,随后进行 App 无法卸载、App 无法关掉、盗取其他 App 数据(包括聊天记录和上网行为等)、伪装成其他 App 骗用户打开、逃避合规监管大量获取用户隐私信息、绕过操作系统通知限制等动作……
报告曝光的这些行为令人触目惊心,这与病毒的描述无异。报告甚至评论到:
回望这些手段,是否终于明白了拼多多曾经的爆炸式增长神话的真正原因之一?这些非法行为,直至被曝光的时间,都在给其业务带来火箭般助力,正如其代码中所述:PddRocket。
一句话来说,拼多多将 4 亿用户设备变成了被其完全控制用于牟利的僵尸网络,这堪称史上最大的入侵事件,甚至连 NSA 都办不到。
2023 年 4 月 2 日。CNN 报道,3 月 5 日拼多多发布的 6.50.0 版本应用程序中已经移除对这些漏洞的利用行为,但是底层代码依然存在,可以随时重新启用。
据拼多多员工称,拼多多早在 2020 年就在内部组建了大约 100 的团队专门负责挖掘和利用系统漏洞。发布更新两天后拼多多解散了这个团队,大部分人去了 Temu 团队,仍然有约 20 人留在拼多多继续挖掘漏洞。
2023 年 5 月 17 日。有论坛用户 分析 多多买菜门店端 App,存在获取用户手机所有通知信息的行为。
2023 年 7 月 7 日。工信部发布《关于侵害用户权益行为的 APP(SDK)通报 (2023 年第 4 批,总第 30 批)》,拼多多公司旗下 App 未在列表中出现。此后的通报中也并未出现。
2023 年 11 月 29 日。拼多多市值超越阿里巴巴。
2024 年 8 月 9 日。拼多多创始人黄峥成中国首富。
便宜吗
什么都架不住便宜二字。
拼多多很便宜。但是这样的便宜,是建立在数亿手机被它操纵的基础之上,是建立在数亿用户的信息被它窃取的基础之上,是建立在它做完这一切用户依然毫不知情的基础之上,是建立在它做完这一切还能逃避所有惩罚的基础之上。
这样的便宜已经失衡,已经越界。
这样的便宜是绝无仅有,超越一切竞争对手,令世界大开眼界的。
这样的便宜,一点儿也不便宜。
正在加载评论区...