整理丨诺亚
出品 | 51CTO技术栈(微X号:blog51cto)
在美国快速崛起并导致广泛关注的中国购物应用Temu,其影响力之大,乃至有信息指出电商巨头亚马逊亦正试图效仿。然而,这款热门应用如今却陷入了争议的漩涡。
Temu,中文名为“多多买”,是拼多多机构旗下的跨境电商平台,于2022年9月在美国正式上线。其核心商场模式借鉴了拼多多在国内的成功经验,主打低价策略和社交电商模式,经过大规模采购以降低成本,同期鼓励用户经过分享链接给伴侣获取额外优惠,以此吸引海量用户并快速扩大市场份额。
美国阿肯色州总检察长蒂姆·格里芬于近期提起了一项诉讼,将Temu比作“危险的恶意软件”,指控其未经用户授权,暗中收集并利用海量个人数据。
照片
1.被指责的应用设计
按照格里芬引用的科研报告与媒介披露,Temu的设计被认为存在恶意目的,故意给予自己对用户手机操作系统的全面拜访权限,范围涵盖摄像头、精确地理位置、通讯录、短信、文件以及安装的其他应用等敏锐信息。
格里芬暗示:“Temu的应用设计得非常隐蔽,即便是技术能手亦很难重视到它广泛的拜访权限。一旦装上,这个应用能自我修改并改变特性,乃至能覆盖用户自设的数据隐私守护设置,让人防不堪防。”他担忧的是,Temu几乎能获取手机上的所有数据,无论你是运用者还是未运用的人,都可能面临极高的隐私和安全威胁。
诉讼中说到,倘若你的伴侣安装了这款购物App,就算你只是给她们发个短信或邮件,你的私人信息亦可能不安全了。由于Temu可能会收集这些信息,据述还会把它们卖给其他人来挣钱,这般一来,用户的隐私权利就被“无情侵犯”了。
2.被可疑的运营企图
更让人担心的是,因为中国的法律规定机构需要跟情报分部合作,Temu的母机构PDD控股集团,即使面对美国的数据守护规定,可能亦得根据中国法律把数据分享给中国政府,这让用户的隐私危害“大大增多”。
格里芬在他的起诉中说到了一个名叫Grizzly Research的公司去年9月份做的仔细调查。这个公司专门分析上市机构,好让投资者们认识状况。Grizzly Research在报告里直指PDD控股集团是个“骗人的机构”,并且说“Temu应用程序是个藏得很深的间谍软件,对美国的安全有着急迫的威胁。”
格里芬认为,Temu用打折和好货的承诺来引诱顾客,还经过像玩转盘赢优惠这般的让人上瘾的小游戏,让大众频繁登录,实质上是为了收集更加多的个人信息。况且,格里芬指出,非常多人向商场改进局投诉说Temu卖的东西质量欠好,这似乎证实了他的想法:Temu的真正目的不是要做成全世界顶尖的购物应用,而是要盗取数据。调查人员亦站在他这边,她们觉得“Temu很可能会违法卖掉从欧美用户那偷来的数据,来挽救一个本来注定失败的商场模式。”
3.来自Temu的反击:纯属无稽之谈
为了制止Temu可能的监测活动,格里芬正寻求法院发布禁令。他期望陪审团能认定,Temu的这些做法违反了阿肯色州的《反欺诈贸易行径法》和《个人隐私守护法》。倘若法庭判Temu败诉,它每违反一次《反欺诈贸易行径法》就可能要支付1万美元罚款,并且可能被迫交出经过贩卖数据和应用内虚假交易所得的所有收益。
对此,Temu的一位发言人向Ars网站发布声明,对Grizzly Research的调查报告提出了质疑,并暗示机构对阿肯色州检察官“未经独立查证就起诉”感到“震惊和失望”。
发言人强调说:“诉讼中的哪些说法是基于网络上流传的不实信息,源头重点是某个企图做空咱们的公司,这些指责纯属无稽之谈。咱们坚决反对这些无端的指控,并将积极为自己辩护。”
“做为采用新颖供应链模式的新兴企业,咱们认识到自己可能初看起来让某些人感到陌生,乃至不那样受欢迎。咱们一心一意追求长远发展,并相信经过深入审查,这一切都将促进咱们的成长。咱们坚信,随着时间的推移,咱们的实质行动和对社会的积极贡献会为咱们赢得应有的认可。”
4.危险来自哪里
尽管面临安全与隐私方面的质疑,Temu去年仍一跃作为美国下载量最高的应用,其受欢迎程度连续攀升。
格里芬的起诉中说到,去年,Temu作为了美国下载量最多的应用程序,而大都数用户无从得知这款应用涉嫌收集“海量敏锐用户数据”,这些数据“超出了一个在线购物应用的必要范围”。
按照格里芬的表述,Temu涉嫌经过拥有误导性的服务条款和隐私政策来掩盖其对数据的未经授权拜访,这些政策无向用户警示应用程序可能收集的数据的所有范围。这包含未通知用户为了未知道的目的跟踪精确位置信息,以及“乃至收集用户的生物识别信息,如指纹”。
应用商店的安全扫描并未标记Temu的危害,格里芬叫作,由于Temu能够在“被下载到用户手机后更改自己的代码”——这寓意着一旦经过安全检测点,它本质上能够转变为恶意软件。
照片
这似乎使得Temu能够“利用”用户的个人身份信息(PII)“及其他数据,或以未知且没法预知的方式掌控用户设备”。
为了实现这一目的,与拼多多类似,Temu据叫作依赖于旨在实现“权限提高”的代码设计,这是一种网络攻击类型,利用操作系统漏洞得到超出授权级别的数据拜访权限。
Grizzly Research还发掘了一项关键点:Temu应用似乎能容易规避安全检测,这得益于其源代码中一个“代码命名模糊化”的技巧。这个技巧非常隐蔽,以至于无论是安装前后,还是在执行深度渗透测试时,安全扫描都没法察觉。
起诉进一步指出,Temu有可能在遭遇安全扫描时,经过简单地变换其行径表现,来逃避哪些旨在发掘恶意软件的调试工具。
另外,有报告揭示Temu在安卓设备上利用了一项权限,这项权限被谷歌标记为存在“高度危害或触及敏锐操作”,准许它在未经用户“知情或同意”的状况下安装任意软件。尽管部分应用确实因功能所需采用此类权限,但格里芬强调,在一个定位为电子商务平台的Temu应用上,持有这般的权限并无恰当解释。
他警告叫作,“绕过手机安全系统的能力是危险的,由于它可能准许Temu读取用户的私人信息、更改手机设置并跟踪通告。”这便是为何Grizzly Research认为Temu是“日前广泛流传的最危险的恶意软件/间谍软件包”。
按照Statista的数据,随着安全和隐私危害报告的显现,Temu的受欢迎程度不减反增。5月份,“该应用在全世界范围内被下载超过5.2亿次,使其比亚马逊更受欢迎。”随着Temu人气飙升,格里芬期盼介入,制止可能影响数百万人的欺诈性和侵犯隐私的贸易行径。
参考链接:
https://it.slashdot.org/story/24/06/27/1945211/shopping-app-temu-is-dangerous-malware-spying-on-your-texts-lawsuit-claims
源自: 51CTO技术栈
|