拼多多戰略副總裁劉大衛與 CNBC 高級記者Arjun Kharpal交談。(圖片來源:Zhong Zhi)
【看中國2023年4月5日訊】近日,美國有線電視新聞網(CNN)報導了中國電商巨擘拼多多應用程式可繞過手機安全系統,監控其他應用程式活動,甚至安裝後就難以移除。由於拼多多應用侵害用戶資訊安全的規模前所未見,谷歌應用商店已將其下架。有學者警告說,拼多多海外版「Temu」正擴展用戶,相關資安風險令人擔憂。
拼多多發現惡意軟體被谷歌下架
近日,部分美國國會議員以恐有資安疑慮,推動全美禁用中國短視頻影音應用程式抖音海外版TikTok。美媒CNN日前另披露,超過7.5億用戶的中國知名購物程式拼多多APP也暗藏惡意軟體,對隱私的侵犯與危害前所未見。
據CNN報導,他們在收到檢舉後,與來自亞、歐、美的六個網路安全團隊和數名現任或前任拼多多員工進行訪談發現,拼多多APP存有利用安卓(Android)作業系統漏洞的惡意軟體,可繞過安全系統監控其他App、查看通知、閱讀私信,甚至更改手機設定,且很難完全移除。
拼多多已被谷歌應用商店下架
谷歌Play應用商店以拼多多藏有惡意軟體為由,在今年3月已將其下架。CNN報導引述芬蘭資安公司WithSecure首席研究員赫佩根形容,從未曾看到主流APP試圖提升許可權,以讀取其他內容,「這極不尋常,非常可惡」。
CNN報導還指出,拼多多駁斥了有關其APP是惡意軟體的指控。拼多多人士稱,這些漏洞用來監控用戶與競爭對手,是為促進銷售成績。目前並無證據顯示,拼多多將蒐集的數據交給中國政府。
此外,美國媒體彭博社(Bloomberg News)也披露,有俄羅斯資安公司在拼多多App發現潛在的惡意軟體。
學者:可追蹤使用者其他APP資料且能更改設定
臺灣法律科技協會理事長、國立海洋大學海洋法律與政策學院副教授江雅綺4日接受自由亞洲電臺採訪指出,資安專家驗證發現拼多多蒐集用戶個資,引爆的資安漏洞規模之大令外界驚訝,前所未見。
江雅綺說:「第一,(拼多多應用)用戶量很大,而且能做的不只可以追蹤使用者資料,還可以追蹤使用者使用其他APP資料,以及更改使用者的設定。超出一般認為資安漏洞、個資非法蒐集可能針對軟體的使用資料,擴及到其他使用的資料。」
江雅綺指出,CNN報導還提及2020年,拼多多內部組建百人團隊,專門研究安卓手機系統上的漏洞,以利用這漏洞收集資料。這組研究漏洞的團隊據說大部分已轉到拼多多旗下的跨境電商海外版「Temu」的相關部門。Temu三月才登上美國購物類APP下載冠軍。
海外版Temu正在擴張會否有相同漏洞引關注
江雅綺說:「現在大家憂慮拼多多被檢舉發現截取資料,大家嚇一跳,規模非法程度這麼大,大家擔心在美國下載量名列前矛的Temu是否一樣有這樣的漏洞?」
江雅綺提到,一旦下載拼多多APP很難刪除又會不知不覺蒐集很多使用者資料,建議有下載的要趕快刪除。
網路觀察人士佐拉接受自由亞洲電臺採訪指出,拼多多和抖音不同,抖音海外版僱用新加坡總裁(CEO)、使用美國伺服器存儲數據,還要服從美國法律和監管;拼多多是中國公司,它的數據肯定存在中國伺服器上。如果中國國安、情報部門要求提供客戶數據,它完全沒有能力拒絕。拼多多收集的數據,中國政府一定拿得到。
網路觀察人士:拼多多問題比抖音嚴重
佐拉提到,知道拼多多到處利用微信發邀請函,要求幫忙發連結、團購、砍一刀等,取得訂單較低廉的價格。這種軟體有資安問題在意料之中。而在拼多多之前,很多軟體為沖高裝機量也使用各種手法。比如,購買灰色產業推廣服務,設法突破手機對軟體的限制,以談廣告為名偷偷安裝軟體等手法防不勝防。
佐拉說:「拼多多在中國市值近百億,甚至獲得騰訊投資。想不到拼多多敢組建黑客團隊,專門研究安卓手機漏洞獲得商業利益,膽大妄為,這是比較罕見。正規團隊這麼做,遲早會暴露。」
佐拉提到,拼多多的問題需要媒體廣為報導,才能防止更多人受害。
拼多多客戶:盜版貨充斥頻繁遭簡訊騷擾
旅美中國人士任瑞婷接受自由亞洲電臺採訪表示,她透過拼多多買過一次商品確實便宜,但全是盜版貨,質量差。買過一次就一直發簡訊來,很煩,是典型的中國APP,預備卸載。下載後,填資料就送東西給優惠,引誘消費者,最後一直被簡訊騷擾。
聽到拼多多被爆出資安疑慮,任瑞婷表示,很擔心會泄露住址、電話,只能祈禱自己沒什麼重要東西在手機上,說到底還是反感中共,他們沒底線。現在個資泄露很嚴重,自我防範意識不強,希望對方只是販賣她的資料從中賺錢,對她的日常安全不致構成打擾。
任瑞婷提到:「我有朋友,他投稿到一個網站,網站被黑,駭客找到他的電腦,通過裡面的微信或其他中國APP鎖定身份,之後家人回中國被限製出境了。那些不滿共產黨、有作公開發言的人要小心。