本來周末吃瓜,突然看到一個驚得我下巴都快掉下來的新聞:
事發突然,就忽略截圖排版上的粗糙吧(呃,其實也從來沒精致過)。這是CNN上的新聞,路透、彭博社也有類似報道。CNN這篇算是深度調查,如果最終被核實,我隻能懷疑拚多多是不是瘋了。
看了幾個報道,我嚐試還原一下事情經過。上周穀歌在自己的應用商城裏下架了拚多多的應用,原因是涉嫌違規搜集用戶數據,被認定為惡意軟件。這件事《財新》有報道。再往回追溯,專門關注網絡安全的深藍洞察在2月28號發過一個某知名互聯網公司利用係統漏洞侵害用戶隱私的文章(鏈接)。該文沒有指明,但現在均認為是在說拚多多。
而CNN的報道裏找了以色列、美國、芬蘭三家網絡安全公司分析拚多多的6.49.0版本應用,均發現該應用隱藏了惡意軟件,用以超越應用本身允許的權限來獲取用戶信息。
比如說以下內容:
阻止自己被卸載,在背景裏一直運作,這被認為是增加月活用戶數。監控用戶在其它購物應用上的活動,這顯然是想(非法)獲得競爭對手信息。為了防止這種侵犯隱私的違規操作被發現,還設計了繞開應用商城搞更新的辦法。結論就是采用了大量惡意軟件開發者使用的招數。
以上都是針對安卓係統開發的。注意安卓的應用商城是分裂的。穀歌隻能下架自己應用商城裏的拚多多應用,三星、小米、華為等都有自己的應用商城,而這些平台上的拚多多應用也存在同樣的漏洞——其實都不該說是漏洞,漏洞是軟件開發商非主觀刻意留下的弱點,拚多多這是故意搞的。
一位分析了拚多多應用的網絡安全專家的評價:
“從未見過這樣的東西。(利用漏洞)非常廣泛。”
CNN找到一位匿名拚多多員工描述了整個發展過程:
大概意思是2020年拚多多內部調集了100多名工程師,專門找安卓係統的漏洞來利用,一開始隻針對農村等偏遠地區(擔心在北上廣搞容易被發現)。利用收集來的大量用戶信息,就能搞清楚用戶的習慣、喜好、興趣,這又讓拚多多可以提升自己的機器人學習模型,進而提供更多個性化的推送、廣告,吸引用戶下單。(這部分還真是絕大部分互聯網公司共同的尿性,但能專門開發惡意軟件再裝到自己的應用裏,在互聯網大廠裏也算是聞所未聞了)
下麵這部分要是被核實,也是驚人的騷操作:
在事情快敗露時,3月5日拚多多更新了6.50.0版本,移除了之前的漏洞,兩天後把開發漏洞的團隊解散了…大部分被轉到力推的海外應用Temu裏去了…(這個腦回路有點清奇。。。是嫌國外的監管機構沒注意Temu的數據收集行為嗎?)
2021年,中國通過了《個人信息保護法》,以上拚多多涉嫌的行為,如經證實,應該說是把《個人信息保護法》從頭到尾違反了一遍。
之前寫TikTok時我也說過,過度收集用戶數據是如今互聯網公司的通病。可是根據這些報道,拚多多這腦洞開得實在太大了點……我能想到一家互聯網公司侵犯用戶隱私,但真想不到能有一家大廠用這種下三濫的手段侵犯隱私到這種程度。
所以我說,這些要是被核實,隻能說拚多多瘋了……當然,CNN找了多家網絡安全公司都證實了,開應用商城的穀歌也認同了,甚至連俄羅斯的卡巴斯基都指出拚多多應用有問題:
隻不過,說到底都是外媒和JWSL,一切還是以官方消息為準吧。
可出於謹慎,即日起,返傭商品暫時不再納入拚多多平台的東西了。
這兩天忙著吃某嗜賭明星瓜的朋友也可以關注一下拚多多這事,畢竟一不小心,自己反倒成了平台的瓜。
One more 不重要的 thing(一個廣告,點此返回原文可看)
參考資料:
https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html
https://www.caixin.com/2023-03-21/102010563.html