作為日活超過3億使用者的超級電商平台拼多多,繼3月份被谷歌發現其應用存在惡意軟體問題而将其在谷歌Play應用商店下架之後,最近又被網友曝出其旗下多多買菜門店端APP存在非法監聽并盜取使用者手機隐私資訊的問題,包括劫取通知欄資訊,偷偷記錄、實時回報使用者使用手機等。
這個爆料内容來源于國内一知名技術論壇,爆料者通過代碼分析等形式為大家上了一場關乎隐私安全的課程。
爆料内容顯示:在多多買菜門店端App裡,有一個名為NotificationUtils的工具,可以實作檢查目前應用是否允許通知、擷取通知權限狀态并記錄、擷取通知欄中的通知數量并内部調用。
也就是說,當使用者手機安裝了多多買菜門店端App,其通知欄就相當于開放給多多買菜,包括推送到通知欄的資訊的App名稱、推送時間,以及推送标題、正文、使用者ID等内容。
說白了即你的手機通知欄裡面的各種資訊詳情被多多買菜非法盯上且被利用了。比如顯示在使用者通知欄的微信聯系人昵稱、頭像、微信資訊的内容,微網誌、短信推送内容,甚至銀行手機用戶端所推送的消費記錄如時間、銀行卡尾号、消費金額、消費管道,行程提醒中的時間、車次等,都能被多多買菜門店端App背景抓取到。
細思極恐,隻要是安裝了多多買菜門店端APP的使用者們,隐私資訊幾乎呈現裸露狀态。作為受害者,如果你想找多多買菜讨要一個說法的話,它可能給出的理由是“你預設允許多多買菜門店端的系統隐私協定了”。
從多多買菜門店端的系統隐私協定中可以看到“當使用者點選接收協定,這款App将擷取使用者裝置類型、裝置型号、MAC位址及IMEI、裝置設定、裝置儲存空間、移動應用清單等軟硬體資訊;同時當使用者通路或使用多多買菜門店端App時,系統将自動接受并記錄使用者的浏覽器、計算機上的資訊,包括但不限于IP位址、浏覽器類型、搜尋記錄、浏覽記錄、浏覽習慣等。”
這等于是把使用者的隐私資訊“合法商業化應用了”。而那些下載下傳多多買菜門店端的使用者們或許并沒有去看和正确了解這套系統協定内容的能力,導緻使用者隐私資訊被惡意利用,陷入了惡性循環當中......
此外,爆料帖還提到,多多買菜門店端App,對使用者的手機可以實施遠端控制,這可能會導緻使用者手機被監聽以及被安裝惡意軟體、遭受病毒攻擊等結果。
其實,除了這次多多買菜門店端APP被曝通過非法手段監聽并擷取利用使用者隐私資訊之外,此前拼多多APP中出現惡意代碼就被國際知名網絡安全公司卡巴斯基證明過。
網上也有相關的報道,比如卡巴斯基對第一财經回應稱:“已經從安全研究員 Igor Golovin 那裡得到了評論,拼多多APP的部分版本包含惡意代碼,利用已知的Android漏洞提權,下載下傳并執行額外的惡意子產品,其中一些還獲得了通路使用者通知和檔案的權限。 我們的産品将這些版本檢測為 HEUR:Backdoor.AndroidOS.Pinduo.a 。 該應用程式的受感染版本是通過一個本地應用程式商店分發的。”
在全球最大的私有軟體項目托管平台Github上,有人公布了拼多多惡意行為報告的PDF版本。它從技術層面詳細分析了拼多多是如何侵害使用者隐私行為的,相當于提供了更确鑿的證據。
報告中指出,拼多多總體惡意⾏為圍繞着獲客、促交易、高日活三個目的,具體⾏為可分為保活、誘導欺騙、防解除安裝、資訊收集、攻擊感染五個⼤類。
其中,高日活目的主要由以下⼏類⾏為實作:保活行為、誘導欺騙⾏為、防解除安裝⾏為、攻擊感染⾏為。而獲客⽬的由以下⾏為實作:遠端靜默安裝⾏為和連結僞造⾏為。
這又讓我聯想到早在2021年,知乎上有個熱搜榜第一的話題,就是關于拼多多與黑客攻擊方面的。話題為“如何看待天才黑客Flanker疑因拒絕做黑客攻擊業務,被拼多多強行辭退,錯失上億股票?”。
默安科技創始人兼CTO、原阿裡集團安全研究實驗室總監雲舒也曾發微網誌支援 Flanker。當日下午,Flanker連發三條微網誌,内容涉及「幫助資訊網絡犯罪活動罪」,也促使該事件進一步發酵。
“疑因拒絕做黑客攻擊業務”,這不僅讓人浮想連連......
綜合下來看,拼多多這家公司着實存在為了自己的商業利益而利用技術手段非法擷取使用者隐私的一些事情。在講究科技向善的今天,拼多多顯得似乎有點背向而行。
2021 年施行的《網絡産品安全漏洞管理規定》第四條明确規定:“任何組織或者個人不得利用網絡産品安全漏洞從事危害網絡安全的活動,不得非法收集、出售、釋出網絡産品安全漏洞資訊;明知他人利用網絡産品安全漏洞從事危害網絡安全的活動的,不得為其提供技術支援、廣告推廣、支付結算等幫助。”
2 月 27 日,工信部釋出了 26 條措施,聚焦 APP 安裝解除安裝、服務體驗、個人資訊保護、訴求響應等,針對性地提出了改善措施;同時對 APP 開發營運者、分發平台、SDK(軟體開發工具)、終端和接入企業細緻地劃分了責任。
保護公民資訊是每個企業都應該遵循的底線,尤其在大資料主導的今天,如何能夠保持個人資訊的合法使用,這是一個動态問題。但是企業不能夠利用黑客等手段非法擷取公民隐私,來破壞合理競争的商業環境,這個容易讓人鄙視。