專家說: Temu母公司拼多多侵犯隱私 App惡意竊資

中國流行的電商「拼多多」購物App日前被揭露夾藏惡意監控軟體，3月已遭Google商店下架。美國有線電視新聞網（CNN）報導，該App侵犯隱私的程度在主流程式中「前所未見」。

CNN報導指出，每個月有超過7.5億使用者透過拼多多購物。許多資安公司在2月就發現，該App可以繞過手機的安全系統設定，監控其他應用程式APP的活動，查看手機通知，閱讀私人簡訊，甚至更改手機的設定，而且一旦下載就很難移除。但據網絡安全研究人員稱，它還可以繞過用戶的手機安全，以監控手機上其他應用程式上的活動。(簡單的說一但下載拼多多APP，惡意代碼就可以收這個人手機的所有資料) 。

專家指出，雖然很多App 也未經使用者同意就大量搜集個資，但是拼多多將侵犯隱私和危害資安提升到新境界。CNN表示，收到有關拼多多侵犯隱私的舉報後，與來自亞洲、歐洲和美國的6個資安團隊，以及拼多多現任和離職員工訪談，發現拼多多的惡意軟體主要是利用安卓系統的漏洞。公司內部人士透露，主要是用來監督使用者和競爭對手，以刺激銷售量。芬蘭網絡安全公司WithSecure的首席研究官赫佩根（ Mikko Hypponen）向CNN表示：「我們不曾看過這樣的主流App，試圖提升自己權限，讀取它們不應接觸的內容」，「這實在非常不尋常，拼多多這樣實做在很糟糕」。

拼多多的資安漏洞曝光後，外界也開始擔心「拼多多」的海外版App「Temu」。Temu目前高居美國App下載排行榜前幾名，在其他西方國家也開始大受歡迎。拼多多及Temu都是在美上市中國企業Pinduoduo Inc. (PDD.US) 的產品。Temu雖未受到牽連，但拼多多伴隨的資安漏洞勢必會影響Temu的全球擴張。雖然現在並沒有證據顯示拼多多會將用戶個資交給中國政府，但北京當局對管轄的企業有重大影響力，美國國會議員擔心任何在中國經營的企業，都可能被迫配合北京當局各種的安全議題。

此外，中國獨立數據安全研究服務機構深藍（Dark Navy）3月初表示，有知名網路廠商通過挖掘安卓廠商OEM代碼中的反序列化漏洞，控制用戶的手機系統，並繞過隱私管理，大肆搜集用戶的私人訊息，而且改寫系統關鍵設定，防止用戶卸載軟體，甚至可以通過雲端開關控制用戶手機躲避檢測，雖然深藍未直接公佈App的名字，但外界普遍認為指的就是拼多多。據 CNN 採訪的兩位專家稱，不久之後，3 月 5 日，拼多多發佈了其應用程式的新更新版本 6.50.0，刪除了這些漏洞。

更新兩天後，拼多多解散了這個開發漏洞的工程師和產品經理團隊。第二天，團隊成員發現自己被排除在拼多多通訊應用程式 Knock 之外，並且無法訪問公司內部文件。 消息人士稱，工程師們還發現他們對大數據、數據表和日誌系統的訪問權限也被撤銷。團隊中的大部分人都被轉移到Temu 工作。 據消息人士稱，他們被分配到子公司的不同部門，其中一些負責營銷或開發推送通知。他們說，一個由大約 20 名網絡安全工程師組成的核心團隊仍留在拼多多，他們專門從事發現和利用漏洞的工作。研究更新的 Oversecured 的 Toshin 表示，儘管漏洞已被刪除，但代碼仍然存在，可以重新啟動以進行攻擊。

在中國政府從 2020 年底開始對大型科技公司進行監管打壓的背景下，拼多多得以擴大其用戶群。那一年，中國工信部對非法收集和使用個人數據的應用程式進行了全面打擊。2021 年，北京通過了首個全面的數據隱私立法。《個人資訊保護法》規定，任何人不得非法收集、處理、傳輸個人資訊。他們還被禁止利用與互聯網相關的安全性漏洞或從事危害網絡安全的行動。技術政策專家表示，拼多多明顯的惡意軟件已經違反這些法律，監管機構本應檢測到。“這會讓工業和資訊化部感到尷尬，因為這是他們的工作，”諮詢公司 Trivium China 的技術政策專家 Kendra Schaefer 說。“他們應該檢查拼多多，而他們沒有發現（任何東西）的事實讓監管機構感到尷尬。”

該部門定期發布名單，以點名和羞辱被發現破壞了用戶隱私或其他權利的應用程式。它還發布了一份單獨的應用APP的清單，列出了因不符合規定而從應用程式商店中刪除的APP。拼多多沒有出現在任何一個名單上。他們應該檢查拼多多，而他們沒有發現（任何東西）的事實讓監管機構感到尷尬。

CNN已聯繫中國工信部和國家互聯網信息辦公室徵求意見。在中國社交媒體上，一些網絡安全專家質疑監管機構為何沒有採取任何行動。“可能我們的監管者都不懂程式和編程，也不瞭解技術。當問題被推到你面前時，你甚至無法理解什麼是惡意代碼，”一位擁有 180 萬粉絲的網絡安全專家上週在微博上的一篇病毒式帖子中寫道。第二天，帖子就被中國監管給刪了。