这要是真的，只能说拼多多疯了

本来周末吃瓜，突然看到一个惊得我下巴都快掉下来的新闻：

事发突然，就忽略截图排版上的粗糙吧（呃，其实也从来没精致过）。这是CNN上的新闻，路透、彭博社也有类似报道。CNN这篇算是深度调查，如果最终被核实，我只能怀疑拼多多是不是疯了。

看了几个报道，我尝试还原一下事情经过。上周谷歌在自己的应用商城里下架了拼多多的应用，原因是涉嫌违规搜集用户数据，被认定为恶意软件。这件事《财新》有报道。再往回追溯，专门关注网络安全的深蓝洞察在2月28号发过一个某知名互联网公司利用系统漏洞侵害用户隐私的文章（链接）。该文没有指明，但现在均认为是在说拼多多。

而CNN的报道里找了以色列、美国、芬兰三家网络安全公司分析拼多多的6.49.0版本应用，均发现该应用隐藏了恶意软件，用以超越应用本身允许的权限来获取用户信息。

比如说以下内容：

阻止自己被卸载，在背景里一直运作，这被认为是增加月活用户数。监控用户在其它购物应用上的活动，这显然是想（非法）获得竞争对手信息。为了防止这种侵犯隐私的违规操作被发现，还设计了绕开应用商城搞更新的办法。结论就是采用了大量恶意软件开发者使用的招数。

以上都是针对安卓系统开发的。注意安卓的应用商城是分裂的。谷歌只能下架自己应用商城里的拼多多应用，三星、小米、华为等都有自己的应用商城，而这些平台上的拼多多应用也存在同样的漏洞——其实都不该说是漏洞，漏洞是软件开发商非主观刻意留下的弱点，拼多多这是故意搞的。

一位分析了拼多多应用的网络安全专家的评价：

“从未见过这样的东西。（利用漏洞）非常广泛。”

CNN找到一位匿名拼多多员工描述了整个发展过程：

大概意思是2020年拼多多内部调集了100多名工程师，专门找安卓系统的漏洞来利用，一开始只针对农村等偏远地区（担心在北上广搞容易被发现）。利用收集来的大量用户信息，就能搞清楚用户的习惯、喜好、兴趣，这又让拼多多可以提升自己的机器人学习模型，进而提供更多个性化的推送、广告，吸引用户下单。（这部分还真是绝大部分互联网公司共同的尿性，但能专门开发恶意软件再装到自己的应用里，在互联网大厂里也算是闻所未闻了）

下面这部分要是被核实，也是惊人的骚操作：

在事情快败露时，3月5日拼多多更新了6.50.0版本，移除了之前的漏洞，两天后把开发漏洞的团队解散了…大部分被转到力推的海外应用Temu里去了…（这个脑回路有点清奇。。。是嫌国外的监管机构没注意Temu的数据收集行为吗？）

2021年，中国通过了《个人信息保护法》，以上拼多多涉嫌的行为，如经证实，应该说是把《个人信息保护法》从头到尾违反了一遍。

之前写TikTok时我也说过，过度收集用户数据是如今互联网公司的通病。可是根据这些报道，拼多多这脑洞开得实在太大了点……我能想到一家互联网公司侵犯用户隐私，但真想不到能有一家大厂用这种下三滥的手段侵犯隐私到这种程度。

所以我说，这些要是被核实，只能说拼多多疯了……当然，CNN找了多家网络安全公司都证实了，开应用商城的谷歌也认同了，甚至连俄罗斯的卡巴斯基都指出拼多多应用有问题：

只不过，说到底都是外媒和JWSL，一切还是以官方消息为准吧。

可出于谨慎，即日起，返佣商品暂时不再纳入拼多多平台的东西了。

这两天忙着吃某嗜赌明星瓜的朋友也可以关注一下拼多多这事，毕竟一不小心，自己反倒成了平台的瓜。

（全文转自微信公众号y博的科普园地）