整理丨諾亞

出品 | 51CTO技術(shù)棧（微信號(hào)：blog51cto）

在美國(guó)迅速崛起并引起廣泛關(guān)注的中國(guó)購(gòu)物應(yīng)用Temu，其影響力之大，甚至有消息指出電商巨頭亞馬遜也正試圖效仿。然而，這款熱門應(yīng)用如今卻陷入了爭(zhēng)議的漩渦。

Temu，中文名為“多多買”，是拼多多公司旗下的跨境電商平臺(tái)，于2022年9月在美國(guó)正式上線。其核心商業(yè)模式借鑒了拼多多在國(guó)內(nèi)的成功經(jīng)驗(yàn)，主打低價(jià)策略和社交電商模式，通過大規(guī)模采購(gòu)以降低成本，同時(shí)鼓勵(lì)用戶通過分享鏈接給朋友獲取額外優(yōu)惠，以此吸引大量用戶并快速擴(kuò)大市場(chǎng)份額。

美國(guó)阿肯色州總檢察長(zhǎng)蒂姆·格里芬于近日提起了一項(xiàng)訴訟，將Temu比作“危險(xiǎn)的惡意軟件”，指控其未經(jīng)用戶授權(quán)，暗中收集并利用大量個(gè)人數(shù)據(jù)。

圖片

1.被指責(zé)的應(yīng)用設(shè)計(jì)

根據(jù)格里芬引用的研究報(bào)告與媒體披露，Temu的設(shè)計(jì)被認(rèn)為存在惡意目的，故意給予自身對(duì)用戶手機(jī)操作系統(tǒng)的全面訪問權(quán)限，范圍涵蓋攝像頭、精確地理位置、通訊錄、短信、文件以及安裝的其他應(yīng)用等敏感信息。

格里芬表示：“Temu的應(yīng)用設(shè)計(jì)得非常隱蔽，即便是技術(shù)高手也很難注意到它廣泛的訪問權(quán)限。一旦裝上，這個(gè)應(yīng)用能自我修改并改變特性，甚至能覆蓋用戶自設(shè)的數(shù)據(jù)隱私保護(hù)設(shè)置，讓人防不勝防?！彼麚?dān)憂的是，Temu幾乎能獲取手機(jī)上的所有數(shù)據(jù)，無(wú)論你是使用者還是未使用的人，都可能面臨極高的隱私和安全威脅。

訴訟中提到，如果你的朋友安裝了這款購(gòu)物App，就算你只是給他們發(fā)個(gè)短信或郵件，你的私人信息也可能不安全了。因?yàn)門emu可能會(huì)收集這些信息，據(jù)說(shuō)還會(huì)把它們賣給其他人來(lái)賺錢，這樣一來(lái)，用戶的隱私權(quán)利就被“無(wú)情侵犯”了。

2.被懷疑的運(yùn)營(yíng)企圖

更讓人擔(dān)心的是，由于中國(guó)的法律規(guī)定公司需要跟情報(bào)部門合作，Temu的母公司PDD控股集團(tuán)，即使面對(duì)美國(guó)的數(shù)據(jù)保護(hù)規(guī)定，可能也得按照中國(guó)法律把數(shù)據(jù)分享給中國(guó)政府，這讓用戶的隱私風(fēng)險(xiǎn)“大大增加”。

格里芬在他的起訴中提到了一個(gè)名叫Grizzly Research的機(jī)構(gòu)去年9月份做的詳細(xì)調(diào)查。這個(gè)機(jī)構(gòu)專門分析上市公司，好讓投資者們了解情況。Grizzly Research在報(bào)告里直指PDD控股集團(tuán)是個(gè)“騙人的公司”，并且說(shuō)“Temu應(yīng)用程序是個(gè)藏得很深的間諜軟件，對(duì)美國(guó)的安全有著急迫的威脅。”

格里芬認(rèn)為，Temu用打折和好貨的承諾來(lái)引誘顧客，還通過像玩轉(zhuǎn)盤贏優(yōu)惠這樣的讓人上癮的小游戲，讓大家頻繁登錄，實(shí)際上是為了收集更多的個(gè)人信息。而且，格里芬指出，很多人向商業(yè)改進(jìn)局投訴說(shuō)Temu賣的東西質(zhì)量不好，這似乎證實(shí)了他的想法：Temu的真正目的不是要做成全球頂尖的購(gòu)物應(yīng)用，而是要盜取數(shù)據(jù)。調(diào)查人員也站在他這邊，他們覺得“Temu很可能會(huì)非法賣掉從歐美用戶那偷來(lái)的數(shù)據(jù)，來(lái)挽救一個(gè)本來(lái)注定失敗的商業(yè)模式?！?nbsp;

3.來(lái)自Temu的反擊：純屬無(wú)稽之談

為了制止Temu可能的監(jiān)視活動(dòng)，格里芬正尋求法院發(fā)布禁令。他期望陪審團(tuán)能認(rèn)定，Temu的這些做法違反了阿肯色州的《反欺詐貿(mào)易行為法》和《個(gè)人隱私保護(hù)法》。如果法庭判Temu敗訴，它每違反一次《反欺詐貿(mào)易行為法》就可能要支付1萬(wàn)美元罰款，并且可能被迫交出通過販賣數(shù)據(jù)和應(yīng)用內(nèi)虛假交易所得的全部收益。

對(duì)此，Temu的一位發(fā)言人向Ars網(wǎng)站發(fā)表聲明，對(duì)Grizzly Research的調(diào)查報(bào)告提出了質(zhì)疑，并表示公司對(duì)阿肯色州檢察官“未經(jīng)獨(dú)立查證就起訴”感到“震驚和失望”。

發(fā)言人強(qiáng)調(diào)說(shuō)：“訴訟中的那些說(shuō)法是基于網(wǎng)絡(luò)上流傳的不實(shí)信息，源頭主要是某個(gè)企圖做空我們的機(jī)構(gòu)，這些指責(zé)純屬無(wú)稽之談。我們堅(jiān)決反對(duì)這些無(wú)端的指控，并將積極為自己辯護(hù)?！?/p>

“作為采用新穎供應(yīng)鏈模式的新興企業(yè)，我們認(rèn)識(shí)到自己可能初看起來(lái)讓某些人感到陌生，甚至不那么受歡迎。我們一心一意追求長(zhǎng)遠(yuǎn)發(fā)展，并相信經(jīng)過深入審查，這一切都將促進(jìn)我們的成長(zhǎng)。我們堅(jiān)信，隨著時(shí)間的推移，我們的實(shí)際行動(dòng)和對(duì)社會(huì)的積極貢獻(xiàn)會(huì)為我們贏得應(yīng)有的認(rèn)可?！?/p>

4.危險(xiǎn)來(lái)自哪里

盡管面臨安全與隱私方面的質(zhì)疑，Temu去年仍一躍成為美國(guó)下載量最高的應(yīng)用，其受歡迎程度持續(xù)攀升。

格里芬的起訴中提到，去年，Temu成為了美國(guó)下載量最多的應(yīng)用程序，而大多數(shù)用戶無(wú)從得知這款應(yīng)用涉嫌收集“大量敏感用戶數(shù)據(jù)”，這些數(shù)據(jù)“超出了一個(gè)在線購(gòu)物應(yīng)用的必要范圍”。

根據(jù)格里芬的表述，Temu涉嫌通過具有誤導(dǎo)性的服務(wù)條款和隱私政策來(lái)掩蓋其對(duì)數(shù)據(jù)的未經(jīng)授權(quán)訪問，這些政策沒有向用戶警示應(yīng)用程序可能收集的數(shù)據(jù)的全部范圍。這包括未告知用戶為了未明確的目的追蹤精確位置信息，以及“甚至收集用戶的生物識(shí)別信息，如指紋”。

應(yīng)用商店的安全掃描并未標(biāo)記Temu的風(fēng)險(xiǎn)，格里芬稱，因?yàn)門emu可以在“被下載到用戶手機(jī)后更改自己的代碼”——這意味著一旦通過安全檢查點(diǎn)，它本質(zhì)上能夠轉(zhuǎn)變?yōu)閻阂廛浖?/p>

圖片

這似乎使得Temu能夠“利用”用戶的個(gè)人身份信息（PII）“及其他數(shù)據(jù)，或以未知且無(wú)法預(yù)知的方式控制用戶設(shè)備”。

為了實(shí)現(xiàn)這一目的，與拼多多類似，Temu據(jù)稱依賴于旨在實(shí)現(xiàn)“權(quán)限提升”的代碼設(shè)計(jì)，這是一種網(wǎng)絡(luò)攻擊類型，利用操作系統(tǒng)漏洞獲得超出授權(quán)級(jí)別的數(shù)據(jù)訪問權(quán)限。

Grizzly Research還發(fā)現(xiàn)了一項(xiàng)關(guān)鍵點(diǎn)：Temu應(yīng)用似乎能輕松規(guī)避安全檢查，這得益于其源代碼中一個(gè)“代碼命名模糊化”的技巧。這個(gè)技巧十分隱蔽，以至于無(wú)論是安裝前后，還是在執(zhí)行深度滲透測(cè)試時(shí)，安全掃描都無(wú)法察覺。

起訴進(jìn)一步指出，Temu有可能在遭遇安全掃描時(shí)，通過簡(jiǎn)單地變換其行為表現(xiàn)，來(lái)逃避那些旨在發(fā)現(xiàn)惡意軟件的調(diào)試工具。

此外，有報(bào)告揭示Temu在安卓設(shè)備上利用了一項(xiàng)權(quán)限，這項(xiàng)權(quán)限被谷歌標(biāo)記為存在“高度風(fēng)險(xiǎn)或涉及敏感操作”，允許它在未經(jīng)用戶“知情或同意”的情況下安裝任意軟件。盡管部分應(yīng)用確實(shí)因功能所需采用此類權(quán)限，但格里芬強(qiáng)調(diào)，在一個(gè)定位為電子商務(wù)平臺(tái)的Temu應(yīng)用上，擁有這樣的權(quán)限并無(wú)合理解釋。

他警告稱，“繞過手機(jī)安全系統(tǒng)的能力是危險(xiǎn)的，因?yàn)樗赡茉试STemu讀取用戶的私人信息、更改手機(jī)設(shè)置并跟蹤通知?！边@就是為什么Grizzly Research認(rèn)為Temu是“目前廣泛流傳的最危險(xiǎn)的惡意軟件/間諜軟件包”。

根據(jù)Statista的數(shù)據(jù)，隨著安全和隱私風(fēng)險(xiǎn)報(bào)告的出現(xiàn)，Temu的受歡迎程度不減反增。5月份，“該應(yīng)用在全球范圍內(nèi)被下載超過5.2億次，使其比亞馬遜更受歡迎。”隨著Temu人氣飆升，格里芬希望介入，制止可能影響數(shù)百萬(wàn)人的欺詐性和侵犯隱私的貿(mào)易行為。

參考鏈接：

https://it.slashdot.org/story/24/06/27/1945211/shopping-app-temu-is-dangerous-malware-spying-on-your-texts-lawsuit-claims