中国广受欢迎的“拼多多”购物App,日前被揭夹藏恶意软体监控其他程式并可阅读私讯、更改设定。专家表示这在主流程式中“前所未见”,在3月已遭Google商店下架。
美国有线电视新闻网(CNN)报导,“拼多多”是中国最受欢迎的购物电商之一,每月有超过7.5亿用户用他们的App购买服装、杂货等几乎所有商品。但资安人员表示,它可绕过手机安全系统,监控其他应用程式活动、查看通知、阅读私讯,甚至更改设定,且一旦安装就很难移除。
虽然许多App也都未经当事人同意就蒐集大量用户数据,但专家表示,电商巨擘“拼多多”将隐私侵犯与危害资安提升到新境界。
CNN在收到检举后与来自亚洲、欧洲和美国的6个网络安全团队乃至多名现、前任拼多多员工访谈。多位专家发现“拼多多”App中存有利用安卓(Android)作业系统漏洞的恶意软体。拼多多内部人士称这些漏洞用来监控用户与竞争对手,据称是为促进销售成绩。
芬兰网络安全公司WithSecure的首席研究官赫佩根( Mikko
Hypponen)说:“我们还未曾看过像这样的主流App,试图提升自己权限,读取它们不应接触的内容。”
“这非常不寻常,拼多多实在非常可恶。”
拼多多被爆夹藏複杂恶意软体的证据,正值美国以资安及国安疑虑,对TikTok等中国所研发的App加强审查之际。
部分美国国会议员正推动全美禁用流行短影音App的TikTok,TikTok执行长周受资上週出席国会听证会,接受两党议员长达5小时的拷问。
拼多多App爆出问题,可能会引起更多人关注它在国际上的姊妹应用程式Temu。Temu在美国下载排行名列前茅,并在其他西方市场迅速扩张。
虽然Temu目前未受牵连,但拼多多涉嫌的行为可能会让Temu的全球扩张蒙上阴影。
目前并无证据显示拼多多将蒐集的数据交给中国政府。但由于中国对管辖范围内的企业有重大影响力,美国国会议员担心任何在中国经营的公司,都可能被迫与中国政府合作包罗万象的安全议题。
CNN的调查发布前,谷歌(Google)3月份已将拼多多由Play商店下架,理由是在谷歌商店的版本发现恶意软体。
彭博(Bloomberg News)随后也有报导称有俄罗斯资安公司在拼多多App发现潜在恶意软体。
不过此前,拼多多驳斥他们App是恶意软体的指控与揣测。