整理丨諾亞

出品 | 51CTO技術(shù)棧（微信號：blog51cto）

在美國迅速崛起并引起廣泛關(guān)注的中國購物應(yīng)用Temu，其影響力之大，甚至有消息指出電商巨頭亞馬遜也正試圖效仿。然而，這款熱門應(yīng)用如今卻陷入了爭議的漩渦。

Temu，中文名為“多多買”，是拼多多公司旗下的跨境電商平臺，于2022年9月在美國正式上線。其核心商業(yè)模式借鑒了拼多多在國內(nèi)的成功經(jīng)驗(yàn)，主打低價策略和社交電商模式，通過大規(guī)模采購以降低成本，同時鼓勵用戶通過分享鏈接給朋友獲取額外優(yōu)惠，以此吸引大量用戶并快速擴(kuò)大市場份額。

美國阿肯色州總檢察長蒂姆·格里芬于近日提起了一項(xiàng)訴訟，將Temu比作“危險的惡意軟件”，指控其未經(jīng)用戶授權(quán)，暗中收集并利用大量個人數(shù)據(jù)。

圖片

1.被指責(zé)的應(yīng)用設(shè)計(jì)

根據(jù)格里芬引用的研究報告與媒體披露，Temu的設(shè)計(jì)被認(rèn)為存在惡意目的，故意給予自身對用戶手機(jī)操作系統(tǒng)的全面訪問權(quán)限，范圍涵蓋攝像頭、精確地理位置、通訊錄、短信、文件以及安裝的其他應(yīng)用等敏感信息。

格里芬表示：“Temu的應(yīng)用設(shè)計(jì)得非常隱蔽，即便是技術(shù)高手也很難注意到它廣泛的訪問權(quán)限。一旦裝上，這個應(yīng)用能自我修改并改變特性，甚至能覆蓋用戶自設(shè)的數(shù)據(jù)隱私保護(hù)設(shè)置，讓人防不勝防。”他擔(dān)憂的是，Temu幾乎能獲取手機(jī)上的所有數(shù)據(jù)，無論你是使用者還是未使用的人，都可能面臨極高的隱私和安全威脅。

訴訟中提到，如果你的朋友安裝了這款購物App，就算你只是給他們發(fā)個短信或郵件，你的私人信息也可能不安全了。因?yàn)門emu可能會收集這些信息，據(jù)說還會把它們賣給其他人來賺錢，這樣一來，用戶的隱私權(quán)利就被“無情侵犯”了。

2.被懷疑的運(yùn)營企圖

更讓人擔(dān)心的是，由于中國的法律規(guī)定公司需要跟情報部門合作，Temu的母公司PDD控股集團(tuán)，即使面對美國的數(shù)據(jù)保護(hù)規(guī)定，可能也得按照中國法律把數(shù)據(jù)分享給中國政府，這讓用戶的隱私風(fēng)險“大大增加”。

格里芬在他的起訴中提到了一個名叫Grizzly Research的機(jī)構(gòu)去年9月份做的詳細(xì)調(diào)查。這個機(jī)構(gòu)專門分析上市公司，好讓投資者們了解情況。Grizzly Research在報告里直指PDD控股集團(tuán)是個“騙人的公司”，并且說“Temu應(yīng)用程序是個藏得很深的間諜軟件，對美國的安全有著急迫的威脅?！?/p>

格里芬認(rèn)為，Temu用打折和好貨的承諾來引誘顧客，還通過像玩轉(zhuǎn)盤贏優(yōu)惠這樣的讓人上癮的小游戲，讓大家頻繁登錄，實(shí)際上是為了收集更多的個人信息。而且，格里芬指出，很多人向商業(yè)改進(jìn)局投訴說Temu賣的東西質(zhì)量不好，這似乎證實(shí)了他的想法：Temu的真正目的不是要做成全球頂尖的購物應(yīng)用，而是要盜取數(shù)據(jù)。調(diào)查人員也站在他這邊，他們覺得“Temu很可能會非法賣掉從歐美用戶那偷來的數(shù)據(jù)，來挽救一個本來注定失敗的商業(yè)模式?！?nbsp;

3.來自Temu的反擊：純屬無稽之談

為了制止Temu可能的監(jiān)視活動，格里芬正尋求法院發(fā)布禁令。他期望陪審團(tuán)能認(rèn)定，Temu的這些做法違反了阿肯色州的《反欺詐貿(mào)易行為法》和《個人隱私保護(hù)法》。如果法庭判Temu敗訴，它每違反一次《反欺詐貿(mào)易行為法》就可能要支付1萬美元罰款，并且可能被迫交出通過販賣數(shù)據(jù)和應(yīng)用內(nèi)虛假交易所得的全部收益。

對此，Temu的一位發(fā)言人向Ars網(wǎng)站發(fā)表聲明，對Grizzly Research的調(diào)查報告提出了質(zhì)疑，并表示公司對阿肯色州檢察官“未經(jīng)獨(dú)立查證就起訴”感到“震驚和失望”。

發(fā)言人強(qiáng)調(diào)說：“訴訟中的那些說法是基于網(wǎng)絡(luò)上流傳的不實(shí)信息，源頭主要是某個企圖做空我們的機(jī)構(gòu)，這些指責(zé)純屬無稽之談。我們堅(jiān)決反對這些無端的指控，并將積極為自己辯護(hù)?！?/p>

“作為采用新穎供應(yīng)鏈模式的新興企業(yè)，我們認(rèn)識到自己可能初看起來讓某些人感到陌生，甚至不那么受歡迎。我們一心一意追求長遠(yuǎn)發(fā)展，并相信經(jīng)過深入審查，這一切都將促進(jìn)我們的成長。我們堅(jiān)信，隨著時間的推移，我們的實(shí)際行動和對社會的積極貢獻(xiàn)會為我們贏得應(yīng)有的認(rèn)可。”

4.危險來自哪里

盡管面臨安全與隱私方面的質(zhì)疑，Temu去年仍一躍成為美國下載量最高的應(yīng)用，其受歡迎程度持續(xù)攀升。

格里芬的起訴中提到，去年，Temu成為了美國下載量最多的應(yīng)用程序，而大多數(shù)用戶無從得知這款應(yīng)用涉嫌收集“大量敏感用戶數(shù)據(jù)”，這些數(shù)據(jù)“超出了一個在線購物應(yīng)用的必要范圍”。

根據(jù)格里芬的表述，Temu涉嫌通過具有誤導(dǎo)性的服務(wù)條款和隱私政策來掩蓋其對數(shù)據(jù)的未經(jīng)授權(quán)訪問，這些政策沒有向用戶警示應(yīng)用程序可能收集的數(shù)據(jù)的全部范圍。這包括未告知用戶為了未明確的目的追蹤精確位置信息，以及“甚至收集用戶的生物識別信息，如指紋”。

應(yīng)用商店的安全掃描并未標(biāo)記Temu的風(fēng)險，格里芬稱，因?yàn)門emu可以在“被下載到用戶手機(jī)后更改自己的代碼”——這意味著一旦通過安全檢查點(diǎn)，它本質(zhì)上能夠轉(zhuǎn)變?yōu)閻阂廛浖?/p>

圖片

這似乎使得Temu能夠“利用”用戶的個人身份信息（PII）“及其他數(shù)據(jù)，或以未知且無法預(yù)知的方式控制用戶設(shè)備”。

為了實(shí)現(xiàn)這一目的，與拼多多類似，Temu據(jù)稱依賴于旨在實(shí)現(xiàn)“權(quán)限提升”的代碼設(shè)計(jì)，這是一種網(wǎng)絡(luò)攻擊類型，利用操作系統(tǒng)漏洞獲得超出授權(quán)級別的數(shù)據(jù)訪問權(quán)限。

Grizzly Research還發(fā)現(xiàn)了一項(xiàng)關(guān)鍵點(diǎn)：Temu應(yīng)用似乎能輕松規(guī)避安全檢查，這得益于其源代碼中一個“代碼命名模糊化”的技巧。這個技巧十分隱蔽，以至于無論是安裝前后，還是在執(zhí)行深度滲透測試時，安全掃描都無法察覺。

起訴進(jìn)一步指出，Temu有可能在遭遇安全掃描時，通過簡單地變換其行為表現(xiàn)，來逃避那些旨在發(fā)現(xiàn)惡意軟件的調(diào)試工具。

此外，有報告揭示Temu在安卓設(shè)備上利用了一項(xiàng)權(quán)限，這項(xiàng)權(quán)限被谷歌標(biāo)記為存在“高度風(fēng)險或涉及敏感操作”，允許它在未經(jīng)用戶“知情或同意”的情況下安裝任意軟件。盡管部分應(yīng)用確實(shí)因功能所需采用此類權(quán)限，但格里芬強(qiáng)調(diào)，在一個定位為電子商務(wù)平臺的Temu應(yīng)用上，擁有這樣的權(quán)限并無合理解釋。

他警告稱，“繞過手機(jī)安全系統(tǒng)的能力是危險的，因?yàn)樗赡茉试STemu讀取用戶的私人信息、更改手機(jī)設(shè)置并跟蹤通知?！边@就是為什么Grizzly Research認(rèn)為Temu是“目前廣泛流傳的最危險的惡意軟件/間諜軟件包”。

根據(jù)Statista的數(shù)據(jù)，隨著安全和隱私風(fēng)險報告的出現(xiàn)，Temu的受歡迎程度不減反增。5月份，“該應(yīng)用在全球范圍內(nèi)被下載超過5.2億次，使其比亞馬遜更受歡迎。”隨著Temu人氣飆升，格里芬希望介入，制止可能影響數(shù)百萬人的欺詐性和侵犯隱私的貿(mào)易行為。

參考鏈接：

https://it.slashdot.org/story/24/06/27/1945211/shopping-app-temu-is-dangerous-malware-spying-on-your-texts-lawsuit-claims