CNN：拼多多涉監控用戶　提高銷售業績

美國媒體展開的調查顯示，擁有約8.24億用戶的中國電商應用程式巨頭拼多多，長期未經用戶許可，自行繞過用戶手機安全設置，監控用戶在其他應用程式的活動，以提高銷售業績。

美國有線電視新聞網（CNN）在收到用戶舉報後進行了詳細的調查，包括訪問來自亞洲、歐洲和美國共六個網絡安全團隊，以及多名拼多多的現任和前任員工。

研究員分析了拼多多於2月25日推出的6.49.0應用程式版本後發現，該程式利用安卓操作系統的約50個漏洞，安插惡意軟件全方位監視和竊取用戶的個人信息。

拼多多內部員工透露，公司為了提高銷售業績，2020年成立了一個百人團隊研究安卓系統的漏洞，以監視用戶在其他應用程式的活動、查看通知、閱讀私人信息和追蹤用戶位置等，勾勒出用戶的習慣、興趣和偏好。

一開始，拼多多只監控中國小縣城和農村地區的用戶，以避免暴露行動。拼多多還將潛在的惡意代碼隱藏在合法的文件夾內，以逃避審查。

為了能進一步鞏固用戶粘性，拼多多通過攻擊安卓漏洞，未經用戶授權自行提高應用權限，讀取原本不能獲得的系統信息和其他軟件的信息，還修改系統設置，使軟件難以被徹底卸載。

研究員：沒證據顯示拼多多將數據交中國政府

芬蘭網絡安全公司WithSecure的首席研究員海波寧說：「我們沒看過這種會自行提高系統權限，以獲得不被授權信息的主流應用。這是非常不尋常的，而且對拼多多來說相當不利。」

不過，研究人員也說，沒有證據表明拼多多曾將數據轉交給中國政府。

6.49.0版本2月底推出後，中國網絡安全公司Dark Navy發佈報告，指拼多多在應用程式中安插了惡意軟件。3月5日，拼多多迅速發佈更新版本6.50.0，並刪除了相關漏洞；兩天後，該公司突然解散專門挖掘漏洞的百人工程團隊。

谷歌3月21日宣佈在谷歌商店中下架這一應用程式。彭博社隨後發表的一篇報道說，一家俄羅斯網絡安全公司也在應用程式中發現了潛在的惡意軟件。拼多多早前曾否認「有關拼多多應用程式具有惡意軟件的猜測和指控」。

這一消息曝光後，預計將有更多人開始關注拼多多的國際版應用程式Temu。這款應用程式在美國下載排行榜上名列前茅，也在其他西方市場迅速擴張。

成立於2015年的拼多多是中國主流的手機購物平台，用戶能通過與他人共同團購商品而獲得大幅折扣。拼多多的用戶人數已佔中國網絡人口的四分之三，市值是拍賣平台eBay的三倍。

本文獲《聯合早報》授權轉載