拼多多:写恶意代码,操控用户的手机,并且不用负责?
在上一篇文章中 某大厂如何利用系统漏洞,控制用户整个手机系统 分析了拼多多是如何将 普通应用权限提升到系统权限,收集更多用户的信息,甚至可以随意操控用户的手机,做更多他们想做的事,而且一旦安装,就很难删除,这简直就是手机界的 360。
被爆出之后,谷歌公司发言人埃德·费尔南德斯在一份声明中表示:“将拼多多 APP 下架是一种安全预防措施,谷歌的软件防护服务 Google Play Protect 将会阻止用户从谷歌商店中下载拼多多的 APP,并且已经下载了该 APP 的用户也会收到警告,提示他们进行卸载”
在继谷歌之后,俄罗斯知名的反病毒软件卡巴斯基也石锤它,该实验室的研究人员证实该拼多多安装恶意代码,操控用户的手机系统。
有安全专家表示,目前市面上所有的 App 都会收集用户的数据,但是他们从未看到过一个主流应用会像拼多多那样做,利用公开的系统漏洞,提升到系统权限,来收集更多的用户的数据。拼多多 “已经将侵犯隐私和数据安全的行为“ 提升到一个新的水平。
近期在脉脉上有匿名拼多多员工称,公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏洞。
最初不敢在全国范围内展开攻击,刚开始只是针对农村和小城镇的用户,避开北京上海之类大都市的用户,此举旨在降低被暴露的风险。
通过收集用户活动的大量数据,拼多多能全面了解用户习惯、兴趣和偏好,改进其机器学习模型,提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。
现在被爆出来之后,拼多多于 2023.03.05 号发布的新版本删除恶意代码,两天之后拼多多解散了攻击团队,但是还保留了 20 核心骨干继续挖掘漏洞,第三天团队大部分成员,发现自己无法使用内部通讯工具,也无法访问公司内网。
消息称,虽然拼多多已经删除漏洞代码,但是底层代码任然存在,并且还继续保留了多名核心骨干继续挖掘漏洞。
对于旧版本,虽然拼多多关掉该功能,但是还能在后台继续运行,并追踪用户使用其他购物 APP 的活动,以便于监视竞争对手动态。除此之外,“拼多多” 还可在未经用户同意下,得知用户定位、手机联络人、行事历和相簿,还能更改系统设置,看到用户的聊天纪录。
有网友提问,这个开发行为,是部门自作主张,还是高层授意?
这个毫无疑问是高层授意的,因为在 2021 年的时候拼多多安全团队的负责人天才黑客 Flanker,只因不愿意做黑客攻击,被强行辞退,并且赖账应得到补偿奖金期权上亿。
Flanker,15 岁上浙大,22 岁斩获世界黑客大赛冠军
如此大佬都因拒绝黑客攻击被强制辞退,更何况团队其他成员呢,所以只能被迫营业了。
最后我有个疑问,
为何拼多多无需为此事负责?
《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。