整理丨诺亚
出品 | 51CTO技术栈(微信号:blog51cto)
在美国迅速崛起并引起广泛关注的中国购物应用Temu,其影响力之大,甚至有消息指出电商巨头亚马逊也正试图效仿。然而,这款热门应用如今却陷入了争议的漩涡。
Temu,中文名为“多多买”,是拼多多公司旗下的跨境电商平台,于2022年9月在美国正式上线。其核心商业模式借鉴了拼多多在国内的成功经验,主打低价策略和社交电商模式,通过大规模采购以降低成本,同时鼓励用户通过分享链接给朋友获取额外优惠,以此吸引大量用户并快速扩大市场份额。
美国阿肯色州总检察长蒂姆·格里芬于近日提起了一项诉讼,将Temu比作“危险的恶意软件”,指控其未经用户授权,暗中收集并利用大量个人数据。
图片
1.被指责的应用设计
根据格里芬引用的研究报告与媒体披露,Temu的设计被认为存在恶意目的,故意给予自身对用户手机操作系统的全面访问权限,范围涵盖摄像头、精确地理位置、通讯录、短信、文件以及安装的其他应用等敏感信息。
格里芬表示:“Temu的应用设计得非常隐蔽,即便是技术高手也很难注意到它广泛的访问权限。一旦装上,这个应用能自我修改并改变特性,甚至能覆盖用户自设的数据隐私保护设置,让人防不胜防。”他担忧的是,Temu几乎能获取手机上的所有数据,无论你是使用者还是未使用的人,都可能面临极高的隐私和安全威胁。
诉讼中提到,如果你的朋友安装了这款购物App,就算你只是给他们发个短信或邮件,你的私人信息也可能不安全了。因为Temu可能会收集这些信息,据说还会把它们卖给其他人来赚钱,这样一来,用户的隐私权利就被“无情侵犯”了。
2.被怀疑的运营企图
更让人担心的是,由于中国的法律规定公司需要跟情报部门合作,Temu的母公司PDD控股集团,即使面对美国的数据保护规定,可能也得按照中国法律把数据分享给中国政府,这让用户的隐私风险“大大增加”。
格里芬在他的起诉中提到了一个名叫Grizzly Research的机构去年9月份做的详细调查。这个机构专门分析上市公司,好让投资者们了解情况。Grizzly Research在报告里直指PDD控股集团是个“骗人的公司”,并且说“Temu应用程序是个藏得很深的间谍软件,对美国的安全有着急迫的威胁。”
格里芬认为,Temu用打折和好货的承诺来引诱顾客,还通过像玩转盘赢优惠这样的让人上瘾的小游戏,让大家频繁登录,实际上是为了收集更多的个人信息。而且,格里芬指出,很多人向商业改进局投诉说Temu卖的东西质量不好,这似乎证实了他的想法:Temu的真正目的不是要做成全球顶尖的购物应用,而是要盗取数据。调查人员也站在他这边,他们觉得“Temu很可能会非法卖掉从欧美用户那偷来的数据,来挽救一个本来注定失败的商业模式。”
3.来自Temu的反击:纯属无稽之谈
为了制止Temu可能的监视活动,格里芬正寻求法院发布禁令。他期望陪审团能认定,Temu的这些做法违反了阿肯色州的《反欺诈贸易行为法》和《个人隐私保护法》。如果法庭判Temu败诉,它每违反一次《反欺诈贸易行为法》就可能要支付1万美元罚款,并且可能被迫交出通过贩卖数据和应用内虚假交易所得的全部收益。
对此,Temu的一位发言人向Ars网站发表声明,对Grizzly Research的调查报告提出了质疑,并表示公司对阿肯色州检察官“未经独立查证就起诉”感到“震惊和失望”。
发言人强调说:“诉讼中的那些说法是基于网络上流传的不实信息,源头主要是某个企图做空我们的机构,这些指责纯属无稽之谈。我们坚决反对这些无端的指控,并将积极为自己辩护。”
“作为采用新颖供应链模式的新兴企业,我们认识到自己可能初看起来让某些人感到陌生,甚至不那么受欢迎。我们一心一意追求长远发展,并相信经过深入审查,这一切都将促进我们的成长。我们坚信,随着时间的推移,我们的实际行动和对社会的积极贡献会为我们赢得应有的认可。”
4.危险来自哪里
尽管面临安全与隐私方面的质疑,Temu去年仍一跃成为美国下载量最高的应用,其受欢迎程度持续攀升。
格里芬的起诉中提到,去年,Temu成为了美国下载量最多的应用程序,而大多数用户无从得知这款应用涉嫌收集“大量敏感用户数据”,这些数据“超出了一个在线购物应用的必要范围”。
根据格里芬的表述,Temu涉嫌通过具有误导性的服务条款和隐私政策来掩盖其对数据的未经授权访问,这些政策没有向用户警示应用程序可能收集的数据的全部范围。这包括未告知用户为了未明确的目的追踪精确位置信息,以及“甚至收集用户的生物识别信息,如指纹”。
应用商店的安全扫描并未标记Temu的风险,格里芬称,因为Temu可以在“被下载到用户手机后更改自己的代码”——这意味着一旦通过安全检查点,它本质上能够转变为恶意软件。
图片
这似乎使得Temu能够“利用”用户的个人身份信息(PII)“及其他数据,或以未知且无法预知的方式控制用户设备”。
为了实现这一目的,与拼多多类似,Temu据称依赖于旨在实现“权限提升”的代码设计,这是一种网络攻击类型,利用操作系统漏洞获得超出授权级别的数据访问权限。
Grizzly Research还发现了一项关键点:Temu应用似乎能轻松规避安全检查,这得益于其源代码中一个“代码命名模糊化”的技巧。这个技巧十分隐蔽,以至于无论是安装前后,还是在执行深度渗透测试时,安全扫描都无法察觉。
起诉进一步指出,Temu有可能在遭遇安全扫描时,通过简单地变换其行为表现,来逃避那些旨在发现恶意软件的调试工具。
此外,有报告揭示Temu在安卓设备上利用了一项权限,这项权限被谷歌标记为存在“高度风险或涉及敏感操作”,允许它在未经用户“知情或同意”的情况下安装任意软件。尽管部分应用确实因功能所需采用此类权限,但格里芬强调,在一个定位为电子商务平台的Temu应用上,拥有这样的权限并无合理解释。
他警告称,“绕过手机安全系统的能力是危险的,因为它可能允许Temu读取用户的私人信息、更改手机设置并跟踪通知。”这就是为什么Grizzly Research认为Temu是“目前广泛流传的最危险的恶意软件/间谍软件包”。
根据Statista的数据,随着安全和隐私风险报告的出现,Temu的受欢迎程度不减反增。5月份,“该应用在全球范围内被下载超过5.2亿次,使其比亚马逊更受欢迎。”随着Temu人气飙升,格里芬希望介入,制止可能影响数百万人的欺诈性和侵犯隐私的贸易行为。
参考链接:
https://it.slashdot.org/story/24/06/27/1945211/shopping-app-temu-is-dangerous-malware-spying-on-your-texts-lawsuit-claims
