2023年2月下旬,特拉维夫网络公司 Check Point Research、特拉华州应用程序安全初创公司 Oversecured 和 Hyppönen 的 WithSecure 的研究人员,对在中国安卓应用商店发布的6.49.0版本拼多多应用进行了独立分析。
Hyppönen 说,该应用程序能够在后台继续运行并防止自身被卸载,这使其能够提高每月活跃用户率。他补充说,它还有能力通过跟踪其他购物应用程序上的活动并从中获取信息来监视竞争对手。Check Point Research 还确定了该应用程序能够逃避审查的方式。
研究人员表示,“这种技术被恶意软件开发者广泛使用,他们将恶意代码注入具有合法功能的应用程序。”
而谷歌也在今年3月暂停拼多多,称在该应用程序的非播放版本中发现了恶意软件。近日,卡巴斯基实验室也证实了拼多多被指控的隐私侵犯行为。
曾因侵犯隐私多次被媒体爆料,拼多多侵犯隐私已被卡巴斯基实验室证实
2023年3月28日有消息称,莫斯科卡巴斯基实验室的研究人员证实拼多多安装程序有恶意代码,破坏攻击用户手机系统。
卡巴斯基表示,已经从安全研究员lgor Golovin那里得到了评论,拼多多APP的部分版本包含恶意代码,利用已知的Android漏洞提权,下载并执行额外的恶意模块,其中一些还获得了访问用户通知和文件的权限。我们的产品将这些版本检测为HEUR:Backdoor.AndroidOS.Pinduo.a。该应用程序的受感染版本是通过一个本地应用程序商店分发的。
同时卡巴斯基称,作为背景信息,我们没有发现这个恶意版本,我们只是检测到它。换句话来说就是,含恶意代码的版本不是卡巴斯基第一个发现的。但是在该版本中卡巴斯基确实监测出了恶意代码。
在4月4日三星紧急发布补丁,修复了正在被拼多多大规模利用的三星手机的CertByte漏洞。根据三星官网发布的公告,该漏洞严重程度被定为高危,影响包括Android11,12,13在内的机型。
早在之前,拼多多就已经多次被媒体点名恶意侵犯隐私之类的行为。此前有报道称,一款装机量达数亿的应用像病毒一样给手机安装后门,收集用户的聊天记录、浏览记录、消息、通知、GPS和Wi-Fi信息等。经安全人员分析,这款应用被确认为拼多多。
拼多多随后予以否认,并迅速销毁相关证据。但有关信息已被提交至谷歌,拼多多因此被下架。而3月28日卡巴斯基实验室再次站出来以其专业性证实拼多多存在安装后门行为,再次把拼多多顶到了风口浪尖。
据安全研究人员表示,拼多多的安卓版应用具有强大的后门功能,甚至可以完全控制受害者的安卓设备。无论是否锁定了bootloader,都无法阻止拼多多应用的侵入,因为拼多多使用了0day漏洞。
在2021年,拼多多就被媒体曝光因为与一位用户有消费纠纷,竟然远程删除用户手机上的证据截图。自己手机上的照片,别人竟然可以远程操控删除,此事一出,引发网友热议,并迅速成为了热搜第一。
据数据显示,拼多多的MSCI ESG评级也在逐年下降,2022年,其ESG评级下调至B级,并且在“数据隐私与安全”议题上也处于落后地位。
芬兰网络安全公司WithSecure的研发主管称:“我们还没有看到像这样的主流应用程序,试图提升它们的权限以访问它们不应该访问的东西。”另外有专家表示,拼多多的做法,“将侵犯隐私和数据安全的行为提升到了一个新的水平。
据专家称,研究人员发现了旨在实现“特权升级”的代码:一种利用易受攻击的操作系统来获得比预期更高级别的数据访问权限的网络攻击。
据了解,拼多多在3月5日发布了更新的6.50.0版本,该版本移除了利用漏洞的代码。不过专业人士称,漏洞利用的底层代码依然还在,随时可以被重新激活。而负责开发这些漏洞的团队被解散。但据CNN称,这些成员大多被转移到Temu工作,不过拼多多仍保留了20人左右的核心团队继续“捡漏”。
唯品会的“合作方”导致其用户信息泄露,消费者的隐私到底有没有保障?
据2020年10月报道显示,多位消费者向媒体表示,在十一长假后有不少唯品会的消费者遭受了自称“唯品会客服”所设下的骗局,而被一步一步套走了银行卡上的钱。是消费者的防诈骗意识太薄弱吗?
深入了解之后发现,并不是消费者的防诈骗意识太薄弱,而是因为诈骗的人能准确叫出你的名字、知道你购买商品的具体信息、交易单号,交易时间,甚至还能报出你的银行卡信息。这样的骗局属实让人感到头皮发麻。
受骗者之一李女士表示,自己接到了一位自称“唯品会客服”的电话,“唯品会客服”准确报出了李女士的名字、订单号和商品内容,并称由于登记错误,把李女士列为了代理商,每个月会扣500元手续费,“客服”发现问题后,希望进行纠正。由于“唯品会客服”说出了李女士的详细相关信息,所以李女士并没有怀疑,并按照指引完成了一系列操作导致被诈骗。
除了李女士以外,因为此类情况被骗的不在少数,仅当时搜索到的唯品会消费者被骗维权群就有80多人。近年来陆续也曝出被自称“唯品会客服”的人诈骗的案例,仅是我们知道的诈骗金额从几百到几十万不等,其中个人最高的受骗金额高达26万左右。
在骗子的套路方面,骗子的套路并不高端。根据汇总投诉和受骗者自述来看,可以断定骗子的套路基本分为以下三种:以购买东西有质量问题给用户进行赔偿为由;以唯品会系统出现问题导致每月需被扣6000元为由;以操作失误将客户升级为代理商每月需扣500元为由。
受害者除了第一时间向警方报案外,还与唯品会联络,质疑其为何会把自己的隐私泄露?唯品会回应称,公司非常注重用户信息保护,已配合警方在积极调查中,基本排除唯品会泄露信息,并敦促相关合作方在进行漏洞排查和修复。
但在没经过用户允许之前,哪怕是平台本身也不能随意将这些信息告知“合作方”,“合作方”合作对象是唯品会,并不是用户。就这样擅自把用户信息泄露给“合作方”是不是对用户的一种不负责?用户的隐私又该如何去保证?!
《中华人民共和国网络安全法》明确规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
在补偿方面,有受骗者称,在向唯品会提交手持身份证照片等隐私数据后,唯品会向部分被骗用户垫付了损失,并要求其承诺,一旦警方破案拿到被骗款项便返还垫付款项。但有受骗者表示,把手持身份证照片给到唯品会,无疑又增加了一层隐私泄露的风险。可见消费者已经失去了对其的信任。
不仅唯品会,其他平台也有泄露隐私的情况,京东就曾举报离职员工泄露50亿条公民信息、“1号店”员工内外勾结泄露客户信息。京东到唯品会,再到如今的拼多多,让消费者们不得不觉得,在这个互联网越来越发达的时代,个人隐私真的要变成“透明”的了!
而关于维权方面,IT与知识产权律师赵占领表示,能接触到消费者购物信息的,并非只有app的工作人员,受害者需要举证证明到底是谁泄露他的个人信息才行,因此维权并不容易。
