拼多多進入多事之域： 國內被炸店 國外陷入“病毒門” 被google下架影響到temu

拼多多進入多事之域：

國內被炸店

國外陷入“病毒門”

被google下架影響到temu

在互聯網電商內卷之下，此前披荊斬棘的拼多多進入了多事之域，在國內，炸店不斷，在國外，因被指有毒而被google應用商店下架，到現在也沒恢復，繼而影響到正在布局的temu。

炸店：給大家一條活路

對於炸店這件事，其實就是拼多多對待商家，商家認爲“不能像孫子一樣的存在，每個人都有尊嚴，我們需要的是公平公正營商環境。”在廣爲流傳的《告百萬商家的一封信》中，商家呼籲“要所有人集中起來，拿回我們自己的財產。”，拼多多被指壓榨商家這事，其實並不是拼多多現在开始的，早在上市之前，那時候凌通社還在某財經媒體上班，就一直接到拼多多商家被壓榨的投訴，拼多多本身是個平臺，盈利模式就是收取商家的各種費用，當時商家就投訴拼多多通過各種罰款等方式侵犯商家的利益。凌通社覺得，現在都在講營商環境，營商環境並不只對拼多多這樣的已經從假冒僞劣成長出來的大公司，而也應該針對廣大的店家，大平臺不給經營者一條活路，最後的結果可能就是都不能活下去 。

海外：拼多多陷入“病毒門”

在國內被炸店的同時，大部分中國用戶不知道的是，拼多多在海外正陷入“病毒門”

根據外媒的報道，據網絡安全研究人員稱，它還可以繞過用戶的手機安全，以監控其他應用程序上的活動、查看通知、閱讀私人消息和更改設置。

而且一旦安裝，就很難移除。

雖然許多應用程序收集了大量用戶數據，有時未經明確同意，但專家表示，電子商務巨頭拼多多已經將侵犯隱私和數據安全的行爲提升到了一個新的水平。

在一項詳細調查中，外媒在收到舉報後與來自亞洲、歐洲和美國的六個網絡安全團隊以及多名前任和現任拼多多員工進行了交談。

事實上，2021 年，中國就通過了首個全面的數據隱私立法。

《個人信息保護法》規定，任何人不得非法收集、處理、傳輸個人信息。他們還被禁止利用與互聯網相關的安全漏洞或從事危害網絡安全的行動。拼多多這樣幹的模式如果是真的，拼多多這是明顯的頂風作案了。

拼多多被指將侵犯隱私和數據安全的行爲提升到了一個新的水平

//

專家發現了什么

特拉維夫網絡公司 Check Point Research、特拉華州應用程序安全初創公司 Oversecured 和 Hyppnen 的 WithSecure 的研究人員，對 2 月下旬在中國應用程序商店發布的 6.49.0 版應用程序進行了獨立分析。

Google Play 在中國不可用，該國的 Android 用戶從本地商店下載他們的應用程序。今年 3 月，當谷歌暫停拼多多時，它表示在該應用程序的非播放版本中發現了惡意軟件。

據專家稱，研究人員發現了旨在實現“特權升級”的代碼：一種利用易受攻擊的操作系統來獲得比預期更高級別的數據訪問權限的網絡攻擊。

Hyppnen 說：“我們的團隊已經對該代碼進行了逆向工程，我們可以確認它試圖提升權限，試圖獲取普通應用程序無法在 Android 手機上執行的操作。”

Hyppnen 說，該應用程序能夠在後臺繼續運行並防止自身被卸載，這使其能夠提高每月活躍用戶率。他補充說，它還有能力通過跟蹤其他購物應用程序上的活動並從中獲取信息來監視競爭對手。

Check Point Research 還確定了該應用程序能夠逃避審查的方式。

研究人員說，該應用程序部署了一種方法，允許它在沒有旨在檢測惡意應用程序的應用程序商店審查過程的情況下推送更新。

他們還在一些插件中發現了通過將潛在惡意組件隱藏在合法文件名下（例如 Google 的文件名）來掩蓋潛在惡意組件的意圖。

“這種技術被惡意軟件开發者廣泛使用，他們將惡意代碼注入具有合法功能的應用程序，”他們說。

//

針對安卓

在中國，大約四分之三的智能手機用戶使用的是安卓系統。Wedbush Securities 的 Daniel Ives 表示， Apple (AAPL)的 iPhone 擁有 25% 的市場份額。

Oversecured 創始人 Sergey Toshin 表示，拼多多的惡意軟件專門針對不同的基於 Android 的操作系統，包括三星、華爲、小米和 Oppo 使用的操作系統。

Toshin 將拼多多描述爲主流應用程序中發現的“最危險的惡意軟件”。

“我以前從未見過這樣的事情。就像，超級膨脹，”他說。

大多數手機制造商在全球範圍內定制核心 Android 軟件，即 Android 开源項目 (AOSP)，以將獨特的功能和應用程序添加到他們自己的設備中。

Toshin發現拼多多利用了大約50個Android系統漏洞。他說，大多數漏洞利用都是爲被稱爲原始設備制造商 (OEM) 代碼的定制部件量身定制的，與 AOSP 相比，這些代碼往往更少被審計，因此更容易出現漏洞。

拼多多還利用了一些 AOSP 漏洞，包括 Toshin 在 2022 年 2 月向谷歌舉報的一個漏洞。谷歌今年 3 月修復了這個漏洞，他說。

根據 Toshin 的說法，這些漏洞允許拼多多在未經用戶同意的情況下訪問用戶的位置、聯系人、日歷、通知和相冊。他說，他們還能夠更改系統設置並訪問用戶的社交網絡帳戶和聊天記錄。

奧地利林茨約翰內斯开普勒大學網絡與安全研究所所長 Ren Mayrhofer 說，它們包括“潛在的侵入性權限”，例如“設置牆紙”和“在沒有通知的情況下下載”。

//

解散團隊

中國網絡安全公司 Dark Navy於 2 月下旬在一份報告 中首次提出了對拼多多應用程序中惡意軟件的懷疑。盡管該分析沒有直接點名這家購物巨頭，但該報告在其他確實點名了該公司的研究人員中迅速傳播开來。一些分析師跟進了他們自己的報告，證實了最初的發現。

不久之後，3 月 5 日，拼多多發布了其應用程序的新更新版本 6.50.0，刪除了這些漏洞。

據拼多多消息人士透露，更新兩天後，拼多多解散了开發漏洞的工程師和產品經理團隊。

第二天，團隊成員發現自己被鎖定在拼多多定制的工作場所通訊應用程序 Knock 之外，並且無法訪問公司內部網絡上的文件。消息人士稱，工程師們還發現他們對大數據、數據表和日志系統的訪問權限被撤銷。

團隊中的大部分人都被轉移到 Temu 工作。據消息人士稱，他們被分配到子公司的不同部門，其中一些負責營銷或开發推送通知。

他們說，一個由大約 20 名網絡安全工程師組成的核心團隊仍留在拼多多，他們專門從事發現和利用漏洞的工作。

研究更新的 Oversecured 的 Toshin 表示，盡管漏洞已被刪除，但底層代碼仍然存在，可以重新激活以進行攻擊。

黃錚：拼多多走向成功

拼多多擁有佔中國網民四分之三的用戶羣， 市值是易趣 (EBAY)的三倍，它並不總是在线購物巨頭。

這家初創公司於 2015 年由前谷歌員工黃錚 在上海創立，當時正努力在電子商務巨頭阿裏巴巴 (BABA)和京東 (JD)長期主導的市場中站穩腳跟。

它通過爲朋友和家人的團購訂單提供大幅折扣並專注於低收入農村地區而取得成功。

截至 2018 年底，拼多多在紐約上市的那一年，月度用戶數 實現了三位數增長。不過，根據其財報，到 2020 年年中，月度用戶增幅已放緩至 50% 左右，並將繼續下降。

前谷歌員工黃錚於 2015 年在上海創立了拼多多。他於 2020 年卸任首席執行官，次年辭去董事長職務。

拼多多的母公司拼多多在紐約納斯達克上市。

本文作者可以追加內容哦 !