這要是真的，只能說拼多多瘋了

本來周末吃瓜，突然看到一個驚得我下巴都快掉下來的新聞：

事發突然，就忽略截圖排版上的粗糙吧（呃，其實也從來沒精緻過）。這是CNN上的新聞，路透、彭博社也有類似報道。CNN這篇算是深度調查，如果最終被核實，我只能懷疑拼多多是不是瘋了。

看了幾個報道，我嘗試還原一下事情經過。上周谷歌在自己的應用商城裡下架了拼多多的應用，原因是涉嫌違規搜集用戶數據，被認定為惡意軟件。這件事《財新》有報道。再往回追溯，專門關注網絡安全的深藍洞察在2月28號發過一個某知名互聯網公司利用系統漏洞侵害用戶隱私的文章（鏈接）。該文沒有指明，但現在均認為是在說拼多多。

而CNN的報道里找了以色列、美國、芬蘭三家網絡安全公司分析拼多多的6.49.0版本應用，均發現該應用隱藏了惡意軟件，用以超越應用本身允許的權限來獲取用戶信息。

比如說以下內容：

阻止自己被卸載，在背景里一直運作，這被認為是增加月活用戶數。監控用戶在其它購物應用上的活動，這顯然是想（非法）獲得競爭對手信息。為了防止這種侵犯隱私的違規操作被發現，還設計了繞開應用商城搞更新的辦法。結論就是採用了大量惡意軟件開發者使用的招數。

以上都是針對安卓系統開發的。注意安卓的應用商城是分裂的。谷歌只能下架自己應用商城裡的拼多多應用，三星、小米、華為等都有自己的應用商城，而這些平台上的拼多多應用也存在同樣的漏洞——其實都不該說是漏洞，漏洞是軟件開發商非主觀刻意留下的弱點，拼多多這是故意搞的。

一位分析了拼多多應用的網絡安全專家的評價：

「從未見過這樣的東西。（利用漏洞）非常廣泛。」

CNN找到一位匿名拼多多員工描述了整個發展過程：

大概意思是2020年拼多多內部調集了100多名工程師，專門找安卓系統的漏洞來利用，一開始只針對農村等偏遠地區（擔心在北上廣搞容易被發現）。利用收集來的大量用戶信息，就能搞清楚用戶的習慣、喜好、興趣，這又讓拼多多可以提升自己的機器人學習模型，進而提供更多個性化的推送、廣告，吸引用戶下單。（這部分還真是絕大部分互聯網公司共同的尿性，但能專門開發惡意軟件再裝到自己的應用里，在互聯網大廠里也算是聞所未聞了）

下面這部分要是被核實，也是驚人的騷操作：

在事情快敗露時，3月5日拼多多更新了6.50.0版本，移除了之前的漏洞，兩天後把開發漏洞的團隊解散了…大部分被轉到力推的海外應用Temu里去了…（這個腦迴路有點清奇。。。是嫌國外的監管機構沒注意Temu的數據收集行為嗎？）

2021年，中國通過了《個人信息保護法》，以上拼多多涉嫌的行為，如經證實，應該說是把《個人信息保護法》從頭到尾違反了一遍。

之前寫TikTok時我也說過，過度收集用戶數據是如今互聯網公司的通病。可是根據這些報道，拼多多這腦洞開得實在太大了點……我能想到一家互聯網公司侵犯用戶隱私，但真想不到能有一家大廠用這種下三濫的手段侵犯隱私到這種程度。

所以我說，這些要是被核實，只能說拼多多瘋了……當然，CNN找了多家網絡安全公司都證實了，開應用商城的谷歌也認同了，甚至連俄羅斯的卡巴斯基都指出拼多多應用有問題：

只不過，說到底都是外媒和JWSL，一切還是以官方消息為準吧。

可出于謹慎，即日起，返傭商品暫時不再納入拼多多平台的東西了。

這兩天忙着吃某嗜賭明星瓜的朋友也可以關注一下拼多多這事，畢竟一不小心，自己反倒成了平台的瓜。

（全文轉自微信公眾號y博的科普園地）