拼多多面面观

Dangeer · · 5 minutes

恶意入侵事件

2023 年 3 月,卡巴斯基实验室在一份报告中指出,拼多多 App 挖掘安卓系统漏洞侵入用户手机。

还会使用拼多多吗

在事件被爆出后一年多的今天,我在一个论坛看到讨论。有相当一部分的人没有听说过这件事,听说过的人中如果之前就在使用拼多多的人,大都没有受到这件事的影响,仍然会使用拼多多。

为什么

「使用体验好」

「拼多多的打开速度非常快,比淘宝和京东要快得多,同时购物下单的流程体验也非常好。」这是比较注重用户体验的人群给出的看法。

「便宜」

什么都架不住便宜二字。

很多人都给出了这个答案,包括一些明知拼多多入侵行为的人。拼多多商品的价格非常有吸引力,有一位商家给出的原因是拼多多的抽成非常低;同时商家推广效果非常好,投入产出比高。

「iOS 系统没关系吧」

拼多多被爆出的行为是利用安卓系统漏洞,iOS 系统理论上来说还没有确凿的威胁。但是这无异于一个流氓无赖没有欺负到自己头上,就放心让他进家来,还同他做生意。

「中国隐私都泄露了,无法保护,所以不关注」

这位朋友显然已经「看透了」中国公民个人隐私的现状,并且看得出有一些失望。

这个问题得分成两点来说。

第一,无论在哪里,我们的个人隐私都可以被保护,也值得被保护。即便有部分隐私信息被泄露了,但是仍然可以采取措施减少对自己的损害,以及防止更多的信息被泄露。个人隐私越容易被泄露,反而我们应该采取更加严格的防范措施。

我相信任何人都不会主动愿意公布自己所有的隐私信息吧,你可以对现状不满意,但是请不要放弃自己的权利。

第二,拼多多的入侵行为与我们司空见惯的「过度搜集隐私」问题,以及更严重一些的「隐私信息泄露」问题也就是俗称的「脱库」问题,都不能混为一谈。拼多多的行为造成的危害不仅仅是隐私问题,要严重得多。

「这不是我操心的事情,应该由政府来管」

一语中的。拼多多的行为,我想已经涉嫌违反多项中国法律法规。但是很显然,它没有被追究任何责任。

有人在自己的手机乃至国家都能胡作非为,并且只需要承担极小的代价甚至无需承担代价,我想这就是最值得我们关注的事情。

「说这个有用吗」

诚然,我们现在能做的事情很少,但是如果我们因此就置身事外、视而不见,那么留给我们的空间只会越来越小。

至少我们还有铭记的权利。至少我们还有拒绝的权利。

「这是很普遍的事情」

这个事件一点也不普遍。

到底发生了什么

2020 年末。浙大天才黑客 Flanker 被拼多多强制辞退,并被抵赖上亿期权。被安全界人士解读为不愿为拼多多做黑客攻击行为。

2023 年 2 月 28 日。深蓝发布文章《「 深蓝洞察 」2022 年度最“不可赦”漏洞》,指出在 2022 年,「某知名互联网厂商」挖掘安卓系统漏洞,通过 App 攻击数亿用户手机,控制整个手机系统。达到了:

  • 隐蔽安装,提升装机量

  • 伪造提升 DAU/MAU

  • 用户无法卸载

  • 攻击竞争对手 App

  • 窃取用户隐私数据

  • 逃避隐私合规监管

等各种涉嫌违规违法目的。

2023 年 3 月 21 日。拼多多 App 在谷歌 Play 商店被下架。原因是存在恶意软件问题。并且至今未重新上架。

2023 年 3 月 27 日。卡巴斯基公布 29 页 报告,详细列举出拼多多利用漏洞控制用户手机行为:

以年为单位保守估计,通过强迫用户安装获得 5 千万的新增用户,节省了 1 亿 App 推广费用;通过利用手机操作系统漏洞盗取大量用户隐私,从而更懂用户,并获得 40% 的用户触达提升,带动 40% 的 GMV……

通过利用应用商店、微信浏览器、链接跳转漏洞配合社交裂变远程静默安装……

利用安卓系统和 OEM 漏洞提权成为超级用户,然后安装后门驻留系统,随后进行 App 无法卸载、App 无法关掉、盗取其他 App 数据(包括聊天记录和上网行为等)、伪装成其他 App 骗用户打开、逃避合规监管大量获取用户隐私信息、绕过操作系统通知限制等动作……

报告曝光的这些行为令人触目惊心,这与病毒的描述无异。报告甚至评论到:

回望这些手段,是否终于明白了拼多多曾经的爆炸式增长神话的真正原因之一?这些非法行为,直至被曝光的时间,都在给其业务带来火箭般助力,正如其代码中所述:PddRocket。

一句话来说,拼多多将 4 亿用户设备变成了被其完全控制用于牟利的僵尸网络,这堪称史上最大的入侵事件,甚至连 NSA 都办不到。

2023 年 4 月 2 日。CNN 报道,3 月 5 日拼多多发布的 6.50.0 版本应用程序中已经移除对这些漏洞的利用行为,但是底层代码依然存在,可以随时重新启用。

据拼多多员工称,拼多多早在 2020 年就在内部组建了大约 100 的团队专门负责挖掘和利用系统漏洞。发布更新两天后拼多多解散了这个团队,大部分人去了 Temu 团队,仍然有约 20 人留在拼多多继续挖掘漏洞。

2023 年 5 月 17 日。有论坛用户 分析 多多买菜门店端 App,存在获取用户手机所有通知信息的行为。

2023 年 7 月 7 日。工信部发布《关于侵害用户权益行为的 APP(SDK)通报 (2023 年第 4 批,总第 30 批)》,拼多多公司旗下 App 未在列表中出现。此后的通报中也并未出现。

2023 年 11 月 29 日。拼多多市值超越阿里巴巴。

2024 年 8 月 9 日。拼多多创始人黄峥成中国首富。

便宜吗

什么都架不住便宜二字。

拼多多很便宜。但是这样的便宜,是建立在数亿手机被它操纵的基础之上,是建立在数亿用户的信息被它窃取的基础之上,是建立在它做完这一切用户依然毫不知情的基础之上,是建立在它做完这一切还能逃避所有惩罚的基础之上。

这样的便宜已经失衡,已经越界。

这样的便宜是绝无仅有,超越一切竞争对手,令世界大开眼界的。

这样的便宜,一点儿也不便宜。

胡说八道

正在加载评论区...