它是中国最受欢迎的电商购物平台之一,每月向超过7.5亿用户销售各种商品。它成立仅仅3年就前往纳斯达克敲钟,成立6年就超越京东、淘宝,成为中国用户数最多的电商平台。
(资料图片仅供参考)
没错,它就是以"砍一刀"著称的拼多多。在电商界,拼多多的异军突起,很大程度上要仰仗于"百亿补贴"的撬动。但鲜为人知的是,拼多多快速获客背后,还有一个"隐秘的角落"。
近日,一位不愿具名、曾在拼多多工作过多年的网络安全专家向观察者网证实,拼多多在合法APP背后,曾通过一系列隐秘的黑客技术手段,持续挖掘利用手机厂商和云服务的漏洞,以达到伪造提升月活数、使用户无法卸载APP、攻击竞争对手和窃取用户隐私数据等目的。
(资料图)
无独有偶的是,近期中美俄等多国的研究机构也均在发布报告,揭露拼多多挖掘利用漏洞、攻击主流手机系统、侵犯用户合法权益的行径。俄罗斯网络安全公司卡巴斯基确认了上述指控。
有网友还在GitHub上发布了详细的代码分析报告,直言拼多多将数亿用户设备变成被其完全控制用于牟利的僵尸网络,堪称史上最大规模的入侵,"甚至连NSA(美国国家安全局)都做不到"。
观察者网就上述指控向拼多多求证,对方未予证实。
大量的网络安全指控,让拼多多再度处于风口浪尖之上。不久前,这家电商巨头刚完成关键人事变动,董事长、联席CEO陈磊将专注于海外业务。而此次漏洞攻击风波,虽然尚未牵连到拼多多海外平台TEMU,但随着舆论的持续发酵,无疑会给TEMU的全球扩张蒙上一层阴影。
最"不可赦"的漏洞利用
拼多多这轮网络安全风波,其实从上个月就已开始发酵。当地时间3月21日,谷歌发言人在一份声明中称,Google Play Protect在扫描应用商店的应用程序时发现,拼多多相应的安卓版本中包含恶意软件程序,基于安全考虑,将该版本暂时下架。
彼时根据外媒报道,拼多多否认包含恶意软件,并称谷歌下架的不止拼多多,还有其他几款应用。"从谷歌的一般性和非结论性回应来看,我们强烈否认拼多多应用程序是恶意的猜测和指控,"拼多多发言人表示,"我们正在与谷歌沟通以获取更多信息。"
但还没等谷歌调查出具体结论,3月28日,俄罗斯卡巴斯基公司的研究人员公开表示,拼多多APP的部分版本包含有恶意代码,可以利用已知的Android漏洞提权,下载并执行额外的恶意模块,破坏攻击用户手机系统,其中一些还获得了访问用户通知和文件的权限。
有网友还在GitHub上贴出一份20余页的《PDD恶意⾏为分析报告》。其中提到,拼多多持续挖掘利用手机厂商和云服务的漏洞,用于获客、用户留存、规避隐私合规监管、突破系统限制从而获取用户精准画像,以及突破系统限制大量触达用户促进交易转化。
《PDD恶意⾏为分析报告》截图
这份报告以年为单位保守估算,拼多多通过强迫用户安装获得5000万的新增用户,节省了1亿APP推广费用﹔通过利用手机操作系统漏洞盗取大量用户隐私,从而更懂用户,并获得40%的用户触达提升,带动了40%的GMV(商品交易总额),给拼多多业务带来火箭般的助力。
针对该报告,观察者网联系了一位曾在拼多多工作多年、职位达到总监级的网络安全专家。他表示,这份网传报告所述内容基本属实,但率先发布报告指控拼多多的机构,其实在中国。
《PDD恶意⾏为分析报告》截图
根据这位专家的提示,观察者网查到了一份名为《2022年度最"不可赦"漏洞》的报告。该报告由独立安全研究服务机构"DarkNavy"发布,主体为达酷诺威(上海)科技有限公司。
这份发布于今年2月28日的报告并没有直接点名"拼多多",但其中提到,2022年,有知名互联网厂商竟打破底线,持续挖掘新的安卓OEM相关漏洞,在其公开发布的APP中实现对目前市场主流手机系统的漏洞攻击,"本该守护安全的白帽,却被滥用成侵害用户的黑帽!"
根据DarkNavy指控,这家互联网厂商在自家看似无害的APP里,通过一系列隐蔽的黑客技术手段,达到了"隐蔽安装,提升装机量"、"伪造提升DAU/MAU"、"用户无法卸载"、"攻击竞争对手APP"、"窃取用户隐私数据"、"逃避隐私合规监管"等各种涉嫌违规违法的目的。
虽然DarkNavy的报告没有直接点名,但前述匿名网络安全专家告诉观察者网,这份报告所指的互联网厂商就是拼多多,而拼多多利用漏洞、主动挖掘漏洞,在业内已经是公开的秘密。
图源:DarkNavy
"我们从未见过这样的事情"
"我们从未见过,像这样的主流应用程序试图升级他们的特权,以访问他们本不应该访问的内容。这非常不寻常,甚至对拼多多来说是非常致命的。"芬兰网络安全公司WithSecure的首席研究官Mikko Hyppönen说道。
在中俄研究机构相继发布拼多多相关报告后,美国媒体CNN近日也采访了数位网络安全专家,试图找出拼多多利用安卓操作系统漏洞的证据。有专家接受采访时直言,虽然很多公司都在未经同意收集用户数据,但拼多多已将侵犯隐私和数据安全的行为提升到了新的水平。
根据CNN援引拼多多现任员工的爆料,拼多多在2020年成立了一个由约100名工程师和产品经理组成的团队,负责挖掘安卓手机漏洞,开发利用这些漏洞的方法,并将其转化为利润。
这位匿名员工和所谓消息人士还透露,为了降低暴露风险,拼多多最初避开了北京、上海等特大城市的用户,只针对农村地区和小城镇的用户。通过收集大量用户活动数据,拼多多能够全面了解用户的习惯、兴趣和偏好,这使该公司能够改进其机器学习模型,以提供更个性化的推送和通知,吸引用户打开应用程序并下订单。
GMV从0到1000亿,京东用了10年,阿里用了5年,而拼多多只用了2.25年
观察者网就CNN的报道联系了前述网络安全专家,他表示,报道所述与现实情况相差不大,甚至有过之而无不及。这位专家透露,CNN提到的百人工程师团队,归属于拼多多的用户增长部门,另外还有一个十余人的团队属于安全部门,"两边都在挖漏洞,可以理解成赛马。"
根据报道,CNN联系了亚洲、欧洲和美国的6个网络安全团队,他们对2月下旬在中国应用程序商店发布的6.49.0版拼多多应用程序进行了独立分析。与中俄机构的研究报告类似,他们也发现了旨在实现"特权升级"的代码,并称这是一种网络攻击(cyberattack),利用易受攻击的操作系统,获得不应该拥有的更高级别的数据访问权。
"我们的团队对这些代码进行了逆向工程,我们可以确认它试图升级权限,试图访问正常应用程序在安卓手机上无法做到的事情。"Mikko Hyppönen表示,该应用程序能够继续在后台运行,并防止自己被卸载,这使得它的月活跃用户数得以提高。他补充称,拼多多还能够通过跟踪其他购物应用程序的活动来监视竞争对手,并从中获取信息。
专门针对安卓系统,开除拒绝违法攻击的天才黑客?
在中国,大约四分之三的智能手机用户使用安卓系统,其余市场基本上被iPhone占据。
美国应用安全初创公司Oversecured的创始人Sergey Toshin表示,拼多多的恶意软件专门针对不同的安卓操作系统。包括三星、华为、小米和OPPO在内的主流安卓手机厂商,都在基于开源安卓系统开发自己的系统,以便为自己的设备添加独特的功能和应用程序。
Toshin发现,拼多多利用了大约50个安卓系统漏洞。他表示,大多数漏洞都是为原始设备制造商(OEM)代码定制的,这些代码往往比安卓开源项目更少被审查,也更容易出现漏洞。另外,拼多多还利用了一些安卓开源项目的漏洞,包括Toshin在去年2月标记的谷歌漏洞。
"我从没见过这样的东西,它就像一种"超级膨胀"," Toshin表示,恶意软件漏洞允许拼多多在未经用户同意的情况下访问用户的位置、联系人、日历、通知和相册。他补充称,利用这些漏洞还能够改变系统设置、访问用户的社交网络账户和聊天记录。
这一发现和DarkNavy的报告类似,该机构曾提到,在提权控制手机系统之后,拼多多APP即开启一系列违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息,甚至路由器信息等)。
DarkNavy技术分析和截图
面对漏洞攻击,手机厂商就束手无策吗?观察者网就此联系了小米等手机厂商,但截至发稿,尚未得到明确回复。不过前述安全专家表示,手机厂商也是受害者,"千日做贼,千日防贼"。曾有手机厂商投诉过拼多多,但拼多多会威胁"不卖他们手机",或者不结算广告费。
观察者网查询发现,其实早在两年前,拼多多涉违法网络攻击一事就曾引发舆论关注。
彼时有媒体报道,天才黑客Flanker疑因拒绝做黑客攻击业务,被拼多多强行辞退。根据公开资料,Flanker原名何淇丹,毕业于浙江大学少年班和香港科技大学,是蓝莲花战队早期核心成员,前腾讯科恩实验室高级研究员,前拼多多安全团队总监和资深安全专家。
图源:知乎
19岁时,Flanker入职拼多多。但2020年底,在Flanker入职拼多多即将满五年时,他却在微博上宣布了已从拼多多离职,并称"我应得而该司抵赖不给的各种权益已委托律师处理"。随后不久,Flanker在微博中连发了三条破坏计算机系统罪的科普,引发了网友们的猜想。
不仅如此,当时还有很多网络安全的业内人士出来为Flanker鸣不平。
例如,腾讯KEEN团队创始人、业内人称"大牛蛙"的王琦在朋友圈透露,早在2019年,Flanker就曾聊过拼多多管理层强制给他违法任务并在他拒绝后百般刁难;"这次Flanker离职前,再度因拒绝做违法攻击而被拼多多刁难时又与我沟通,拼多多的肆无忌惮再次让我吃惊。"
网传王琦朋友圈截图
观察者网查询企查查发现,DarkNavy的微信运营主体达酷诺威(上海)科技有限公司,实控人名叫王琦,简介显示,他是碁震云计算(Keen Cloud)创始人、CEO,安全技术专家,而碁震云计算的实控人是马化腾。换句话说,此次揭露"知名互联网厂商"漏洞攻击的和为Flanker鸣不平的,是同一个王琦。
观察者网试图联系DarkNavy,对方表示,暂不接受采访。
解散漏洞挖掘团队,海外发展蒙阴影
在被多国研究团队揭露后,CNN援引的两位专家称,拼多多于3月5日发布了其应用程序的更新版本6.50.0,删除了这些漏洞。
据拼多多消息人士透露,在APP更新两天后,拼多多解散了挖掘漏洞的工程师和产品经理团队。第二天,团队成员发现自己被阻挡在拼多多定制的工作场所通讯应用程序Knock之外,并且无法访问内网上的文件。
所谓消息人士表示,拼多多工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销,团队中的大部分人都被转移到拼多多海外平台TEMU工作。据该人士透露,他们被分配到子公司的不同部门,其中一些负责营销或开发推送通知。
拼多多赴美上市
不过,这些消息人士还透露,一个由大约20名网络安全工程师组成的核心团队仍留在拼多多,他们专门从事发现和利用漏洞的工作。Oversecured的Toshin表示,尽管漏洞已被删除,但底层代码仍然存在,可以重新激活以进行攻击。
在3月下架拼多多APP时,谷歌方面曾表示,同样由拼多多运营的购物应用程序TEMU没有受到影响,仍然可以下载。但铺天盖地的拼多多漏洞攻击报告,难免让TEMU受到更多关注,该应用目前在美国下载排行榜上高居榜首,在其他西方市场也在快速扩张。
美媒CNN报道指出,虽然TEMU暂时没有受到牵连,但拼多多涉嫌的行为,可能为其姊妹应用的全球扩张蒙上阴影。
就在漏洞攻击引发巨大风波之际,拼多多宣布重大人事调整,80后赵佳臻新晋联席CEO,负责国内业务,原来国内国外一把抓的董事长、CEO陈磊,则专注挂帅海外。在外界看来,将陈磊腾出来专管海外业务,体现了拼多多对海外业务的战略升级。