没有秘密!拼多多旗下多多买菜门店端App被曝非法监听用户手机

作为日活超过3亿用户的超级电商平台拼多多,继3月份被谷歌发现其应用存在恶意软件问题而将其在谷歌Play应用商店下架之后,最近又被网友曝出其旗下多多买菜门店端APP存在非法监听并盗取用户手机隐私信息的问题,包括劫取通知栏信息,偷偷记录、实时反馈用户使用手机等。
         
这个爆料内容来源于国内一知名技术论坛,爆料者通过代码分析等形式为大家上了一场关乎隐私安全的课程。
         
爆料内容显示:在多多买菜门店端App里,有一个名为NotificationUtils的工具,可以实现检查当前应用是否允许通知、获取通知权限状态并记录、获取通知栏中的通知数量并内部调用。
         640

640-25

也就是说,当用户手机安装了多多买菜门店端App,其通知栏就相当于开放给多多买菜,包括推送到通知栏的信息的App名称、推送时间,以及推送标题、正文、用户ID等内容。
         
说白了即你的手机通知栏里面的各种信息详情被多多买菜非法盯上且被利用了。比如显示在用户通知栏的微信联系人昵称、头像、微信信息的内容,微博、短信推送内容,甚至银行手机客户端所推送的消费记录如时间、银行卡尾号、消费金额、消费渠道,行程提醒中的时间、车次等,都能被多多买菜门店端App后台抓取到。
         
640-1
         
细思极恐,只要是安装了多多买菜门店端APP的用户们,隐私信息几乎呈现裸露状态。作为受害者,如果你想找多多买菜讨要一个说法的话,它可能给出的理由是“你默认允许多多买菜门店端的系统隐私协议了”。
         
从多多买菜门店端的系统隐私协议中可以看到“当用户点击接收协议,这款App将获取用户设备类型、设备型号、MAC地址及IMEI、设备设置、设备储存空间、移动应用列表等软硬件信息;同时当用户访问或使用多多买菜门店端App时,系统将自动接受并记录用户的浏览器、计算机上的信息,包括但不限于IP地址、浏览器类型、搜索记录、浏览记录、浏览习惯等。”
         
640-5
         
这等于是把用户的隐私信息“合法商业化应用了”。而那些下载多多买菜门店端的用户们或许并没有去看和正确理解这套系统协议内容的能力,导致用户隐私信息被恶意利用,陷入了恶性循环当中……
         
此外,爆料帖还提到,多多买菜门店端App,对用户的手机可以实施远程控制,这可能会导致用户手机被监听以及被安装恶意软件、遭受病毒攻击等结果。
         
其实,除了这次多多买菜门店端APP被曝通过技术手段监听并获取利用用户隐私信息之外,此前拼多多APP中出现恶意代码就被国际知名网络安全公司卡巴斯基证实过。
         
网上也有相关的报道,比如卡巴斯基对第一财经回应称:“已经从安全研究员 Igor Golovin 那里得到了评论,拼多多APP的部分版本包含恶意代码,利用已知的Android漏洞提权,下载并执行额外的恶意模块,其中一些还获得了访问用户通知和文件的权限。我们的产品将这些版本检测为 HEUR:Backdoor.AndroidOS.Pinduo.a 。该应用程序的受感染版本是通过一个本地应用程序商店分发的。”
         
在全球最大的私有软件项目托管平台Github上,有人公布了拼多多恶意行为报告的PDF版本。它从技术层面详细分析了拼多多是如何侵害用户隐私行为的,相当于提供了更确凿的证据。
         
640-2
         
报告中指出,拼多多总体恶意⾏为围绕着获客、促交易、高日活三个目的,具体⾏为可分为保活、诱导欺骗、防卸载、信息收集、攻击感染五个⼤类。
         
其中,高日活目的主要由以下⼏类⾏为实现:保活行为、诱导欺骗⾏为、防卸载⾏为、攻击感染⾏为。而获客⽬的由以下⾏为实现:远程静默安装⾏为和链接伪造⾏为。
         
这又让我联想到早在2021年,知乎上有个热搜榜第一的话题,就是关于拼多多与黑客攻击方面的。话题为“如何看待天才黑客Flanker疑因拒绝做黑客攻击业务,被拼多多强行辞退,错失上亿股票?”。
         
默安科技创始人兼CTO、原阿里集团安全研究实验室总监云舒也曾发微博支持 Flanker。当日下午,Flanker连发三条微博,内容涉及「帮助信息网络犯罪活动罪」,也促使该事件进一步发酵。
         
640-4
640-3
         
“疑因拒绝做黑客攻击业务”,这不仅让人浮想连连……
         
综合下来看,拼多多这家公司着实存在为了自己的商业利益而利用技术手段非法获取用户隐私的一些事情。在讲究科技向善的今天,拼多多显得似乎有点背向而行。
         
2021年施行的《网络产品安全漏洞管理规定》第四条明确规定:“任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”
         
2月27日,工信部又发布了26条措施,聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等,针对性地提出了改善措施;同时对 APP 开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业细致地划分了责任。
         
保护公民信息是每个企业都应该遵循的底线,尤其在大数据主导的今天,如何能够保持个人信息的合法使用,这是一个动态问题。但是企业不能够利用黑客等手段非法获取公民隐私,来破坏合理竞争的商业环境,这个容易让人鄙视。 
via  新商纪 
订阅评论
提醒
guest的头像

0 评论
内联反馈
查看所有评论
0
希望看到您的想法,请您发表评论x