2023年2月下旬,特拉維夫網絡公司 Check Point Research、特拉華州應用程序安全初創公司 Oversecured 和 Hyppnen 的 WithSecure 的研究人員,對在中國安卓應用商店發布的6.49.0版本拼多多應用進行了獨立分析。
Hyppnen 說,該應用程序能夠在後台繼續運行並防止自身被卸載,這使其能夠提高每月活躍用戶率。他補充說,它還有能力通過跟蹤其他購物應用程序上的活動並從中獲取信息來監視競爭對手。Check Point Research 還確定了該應用程序能夠逃避審查的方式。
研究人員表示,“這種技術被惡意軟件开發者廣泛使用,他們將惡意代碼注入具有合法功能的應用程序。”
而谷歌也在今年3月暫停拼多多,稱在該應用程序的非播放版本中發現了惡意軟件。近日,卡巴斯基實驗室也證實了拼多多被指控的隱私侵犯行爲。
曾因侵犯隱私多次被媒體爆料,拼多多侵犯隱私已被卡巴斯基實驗室證實
2023年3月28日有消息稱,莫斯科卡巴斯基實驗室的研究人員證實拼多多安裝程序有惡意代碼,破壞攻擊用戶手機系統。
卡巴斯基表示,已經從安全研究員lgor Golovin那裏得到了評論,拼多多APP的部分版本包含惡意代碼,利用已知的Android漏洞提權,下載並執行額外的惡意模塊,其中一些還獲得了訪問用戶通知和文件的權限。我們的產品將這些版本檢測爲HEUR:Backdoor.AndroidOS.Pinduo.a。該應用程序的受感染版本是通過一個本地應用程序商店分發的。
同時卡巴斯基稱,作爲背景信息,我們沒有發現這個惡意版本,我們只是檢測到它。換句話來說就是,含惡意代碼的版本不是卡巴斯基第一個發現的。但是在該版本中卡巴斯基確實監測出了惡意代碼。
在4月4日三星緊急發布補丁,修復了正在被拼多多大規模利用的三星手機的CertByte漏洞。根據三星官網發布的公告,該漏洞嚴重程度被定爲高危,影響包括Android11,12,13在內的機型。
早在之前,拼多多就已經多次被媒體點名惡意侵犯隱私之類的行爲。此前有報道稱,一款裝機量達數億的應用像病毒一樣給手機安裝後門,收集用戶的聊天記錄、瀏覽記錄、消息、通知、GPS和Wi-Fi信息等。經安全人員分析,這款應用被確認爲拼多多。
拼多多隨後予以否認,並迅速銷毀相關證據。但有關信息已被提交至谷歌,拼多多因此被下架。而3月28日卡巴斯基實驗室再次站出來以其專業性證實拼多多存在安裝後門行爲,再次把拼多多頂到了風口浪尖。
據安全研究人員表示,拼多多的安卓版應用具有強大的後門功能,甚至可以完全控制受害者的安卓設備。無論是否鎖定了bootloader,都無法阻止拼多多應用的侵入,因爲拼多多使用了0day漏洞。
在2021年,拼多多就被媒體曝光因爲與一位用戶有消費糾紛,竟然遠程刪除用戶手機上的證據截圖。自己手機上的照片,別人竟然可以遠程操控刪除,此事一出,引發網友熱議,並迅速成爲了熱搜第一。
據數據顯示,拼多多的MSCI ESG評級也在逐年下降,2022年,其ESG評級下調至B級,並且在“數據隱私與安全”議題上也處於落後地位。
芬蘭網絡安全公司WithSecure的研發主管稱:“我們還沒有看到像這樣的主流應用程序,試圖提升它們的權限以訪問它們不應該訪問的東西。”另外有專家表示,拼多多的做法,“將侵犯隱私和數據安全的行爲提升到了一個新的水平。
據專家稱,研究人員發現了旨在實現“特權升級”的代碼:一種利用易受攻擊的操作系統來獲得比預期更高級別的數據訪問權限的網絡攻擊。
據了解,拼多多在3月5日發布了更新的6.50.0版本,該版本移除了利用漏洞的代碼。不過專業人士稱,漏洞利用的底層代碼依然還在,隨時可以被重新激活。而負責开發這些漏洞的團隊被解散。但據CNN稱,這些成員大多被轉移到Temu工作,不過拼多多仍保留了20人左右的核心團隊繼續“撿漏”。
唯品會的“合作方”導致其用戶信息泄露,消費者的隱私到底有沒有保障?
據2020年10月報道顯示,多位消費者向媒體表示,在十一長假後有不少唯品會的消費者遭受了自稱“唯品會客服”所設下的騙局,而被一步一步套走了銀行卡上的錢。是消費者的防詐騙意識太薄弱嗎?
深入了解之後發現,並不是消費者的防詐騙意識太薄弱,而是因爲詐騙的人能准確叫出你的名字、知道你購买商品的具體信息、交易單號,交易時間,甚至還能報出你的銀行卡信息。這樣的騙局屬實讓人感到頭皮發麻。
受騙者之一李女士表示,自己接到了一位自稱“唯品會客服”的電話,“唯品會客服”准確報出了李女士的名字、訂單號和商品內容,並稱由於登記錯誤,把李女士列爲了代理商,每個月會扣500元手續費,“客服”發現問題後,希望進行糾正。由於“唯品會客服”說出了李女士的詳細相關信息,所以李女士並沒有懷疑,並按照指引完成了一系列操作導致被詐騙。
除了李女士以外,因爲此類情況被騙的不在少數,僅當時搜索到的唯品會消費者被騙維權群就有80多人。近年來陸續也曝出被自稱“唯品會客服”的人詐騙的案例,僅是我們知道的詐騙金額從幾百到幾十萬不等,其中個人最高的受騙金額高達26萬左右。
在騙子的套路方面,騙子的套路並不高端。根據匯總投訴和受騙者自述來看,可以斷定騙子的套路基本分爲以下三種:以購买東西有質量問題給用戶進行賠償爲由;以唯品會系統出現問題導致每月需被扣6000元爲由;以操作失誤將客戶升級爲代理商每月需扣500元爲由。
受害者除了第一時間向警方報案外,還與唯品會聯絡,質疑其爲何會把自己的隱私泄露?唯品會回應稱,公司非常注重用戶信息保護,已配合警方在積極調查中,基本排除唯品會泄露信息,並敦促相關合作方在進行漏洞排查和修復。
但在沒經過用戶允許之前,哪怕是平台本身也不能隨意將這些信息告知“合作方”,“合作方”合作對象是唯品會,並不是用戶。就這樣擅自把用戶信息泄露給“合作方”是不是對用戶的一種不負責?用戶的隱私又該如何去保證?!
《中華人民共和國網絡安全法》明確規定,網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
在補償方面,有受騙者稱,在向唯品會提交手持身份證照片等隱私數據後,唯品會向部分被騙用戶墊付了損失,並要求其承諾,一旦警方破案拿到被騙款項便返還墊付款項。但有受騙者表示,把手持身份證照片給到唯品會,無疑又增加了一層隱私泄露的風險。可見消費者已經失去了對其的信任。
不僅唯品會,其他平台也有泄露隱私的情況,京東就曾舉報離職員工泄露50億條公民信息、“1號店”員工內外勾結泄露客戶信息。京東到唯品會,再到如今的拼多多,讓消費者們不得不覺得,在這個互聯網越來越發達的時代,個人隱私真的要變成“透明”的了!
而關於維權方面,IT與知識產權律師趙佔領表示,能接觸到消費者購物信息的,並非只有app的工作人員,受害者需要舉證證明到底是誰泄露他的個人信息才行,因此維權並不容易。
本文作者可以追加內容哦 !
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:拼多多侵犯隱私被證實?否認也沒用,谷歌已將其下架!
地址:https://www.breakthing.com/post/52673.html