沒有秘密！拼多多旗下多多買菜門店端App被曝非法監聽用戶手機

派財經新商紀2023-05-22 12:40 數字產業

這個爆料內容來源于國內一知名技術論壇，爆料者通過代碼分析等形式為大家上了一場關乎隱私安全的課程。

來源：新商紀

作為日活超過3億用戶的超級電商平臺拼多多，繼3月份被谷歌發現其應用存在惡意軟件問題而將其在谷歌Play應用商店下架之后，最近又被網友曝出其旗下多多買菜門店端APP存在非法監聽并盜取用戶手機隱私信息的問題，包括劫取通知欄信息，偷偷記錄、實時反饋用戶使用手機等。

這個爆料內容來源于國內一知名技術論壇，爆料者通過代碼分析等形式為大家上了一場關乎隱私安全的課程。

爆料內容顯示：在多多買菜門店端App里，有一個名為NotificationUtils的工具，可以實現檢查當前應用是否允許通知、獲取通知權限狀態并記錄、獲取通知欄中的通知數量并內部調用。

也就是說，當用戶手機安裝了多多買菜門店端App，其通知欄就相當于開放給多多買菜，包括推送到通知欄的信息的App名稱、推送時間，以及推送標題、正文、用戶ID等內容。

說白了即你的手機通知欄里面的各種信息詳情被多多買菜非法盯上且被利用了。比如顯示在用戶通知欄的微信聯系人昵稱、頭像、微信信息的內容，微博、短信推送內容，甚至銀行手機客戶端所推送的消費記錄如時間、銀行卡尾號、消費金額、消費渠道，行程提醒中的時間、車次等，都能被多多買菜門店端App后臺抓取到。

細思極恐，只要是安裝了多多買菜門店端APP的用戶們，隱私信息幾乎呈現裸露狀態。作為受害者，如果你想找多多買菜討要一個說法的話，它可能給出的理由是“你默認允許多多買菜門店端的系統隱私協議了”。

從多多買菜門店端的系統隱私協議中可以看到“當用戶點擊接收協議，這款App將獲取用戶設備類型、設備型號、MAC地址及IMEI、設備設置、設備儲存空間、移動應用列表等軟硬件信息；同時當用戶訪問或使用多多買菜門店端App時，系統將自動接受并記錄用戶的瀏覽器、計算機上的信息，包括但不限于IP地址、瀏覽器類型、搜索記錄、瀏覽記錄、瀏覽習慣等。”

這等于是把用戶的隱私信息“合法商業化應用了”。而那些下載多多買菜門店端的用戶們或許并沒有去看和正確理解這套系統協議內容的能力，導致用戶隱私信息被惡意利用，陷入了惡性循環當中......

此外，爆料帖還提到，多多買菜門店端App，對用戶的手機可以實施遠程控制，這可能會導致用戶手機被監聽以及被安裝惡意軟件、遭受病毒攻擊等結果。

其實，除了這次多多買菜門店端APP被曝通過技術手段監聽并獲取利用用戶隱私信息之外，此前拼多多APP中出現惡意代碼就被國際知名網絡安全公司卡巴斯基證實過。

網上也有相關的報道，比如卡巴斯基對第一財經回應稱：“已經從安全研究員 Igor Golovin 那里得到了評論，拼多多APP的部分版本包含惡意代碼，利用已知的Android漏洞提權，下載并執行額外的惡意模塊，其中一些還獲得了訪問用戶通知和文件的權限。我們的產品將這些版本檢測為 HEUR:Backdoor.AndroidOS.Pinduo.a 。該應用程序的受感染版本是通過一個本地應用程序商店分發的。”

在全球最大的私有軟件項目托管平臺Github上，有人公布了拼多多惡意行為報告的PDF版本。它從技術層面詳細分析了拼多多是如何侵害用戶隱私行為的，相當于提供了更確鑿的證據。