此前,谷歌发现拼多多存在恶意行为,包括未经用户同意收集个人信息、使用非法的广告技术以及通过其他非法活动来获取收入。于是将拼多多下架,并建议已下载的用户删除APP。
以色列、美国、芬兰三家网络安全公司分析拼多多的6.49.0版本应用,均发现该应用隐藏了恶意软件,用以超越应用本身允许的权限来获取用户信息。阻止被卸载,在背景里一直运作,这被认为是增加月活用户数,监控用户在其它购物应用上的活动……
为了防止这种侵犯隐私的违规操作被发现,还设计了绕开应用商城搞更新的办法。结论就是采用了大量恶意软件开发者使用的招数。
以上都是针对安卓系统开发的。注意安卓的应用商城是分裂的。谷歌只能下架自己应用商城里的拼多多应用,三星、小米、华为等都有自己的应用商城,而这些平台上的拼多多应用也存在同样的漏洞。
安全专家表示,他们从未看到过一个主流应用会像拼多多那样做。
被谷歌下架半个月后,拼多多平台内的恶意功能逐渐浮出水面。近日匿名拼多多员工称,公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏洞,开发漏洞利用方法,将其转化为利润。
此外,消息源称,拼多多应用的恶意功能最初只针对农村和小城镇的用户,避开北京上海之类大都市的用户,此举旨在降低被暴露的风险。通过收集用户活动的大量数据,拼多多能全面了解用户习惯、兴趣和偏好,改进其机器学习模型,提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。在被曝光之后该团队于三月初被解散。团队解散后,大部分成员转移到了Temu,20名核心的网络安全工程师仍留在拼多多。
前不久,拼多多v6.50.0更新移除了漏洞利用代码。安全专家表示,虽然漏洞利用代码移除了,但底层代码仍然留在那里,仍然可以被重新激活去执行攻击。
来源:网易网、ZAKER新闻
您想入驻成为Tech+技术加大咖?获取更多数字化案例&研究报告?寻求合作?赶紧扫码咨询,同时您也可扫码申请加入企业数字化精英社群,链接10000+优质CXO资源、参与高质高频线上线下活动、精准对接创新技术、发现职业新机遇.......