此前,谷歌發現拼多多存在惡意行爲,包括未經用戶同意收集個人信息、使用非法的廣告技術以及通過其他非法活動來獲取收入。于是将拼多多下架,并建議已下載的用戶删除 APP。
安全專家表示,他們從未看到過一個主流應用會像拼多多那樣做。
被谷歌下架半個月後,拼多多平台内的惡意功能逐漸浮出水面。根據公開資料顯示,近日匿名拼多多員工稱,公司在 2020 年組建了一支由大約 100 名工程師和産品經理組成的團隊,緻力于挖掘 Android 手機漏洞,開發漏洞利用方法,将其轉化爲利潤。
此外,消息源稱,拼多多應用的惡意功能最初隻針對農村和小城鎮的用戶,避開北京上海之類大都市的用戶,此舉旨在降低被暴露的風險。通過收集用戶活動的大量數據,拼多多能全面了解用戶習慣、興趣和偏好,改進其機器學習模型,提供更具有個性化的推送通知和廣告,吸引用戶打開應用并下單。在被曝光之後該團隊于三月初被解散。
團隊解散後,大部分成員轉移到了 Temu,20 名核心的網絡安全工程師仍留在拼多多。
前不久拼多多 v6.50.0 更新移除了漏洞利用代碼。安全專家表示,雖然漏洞利用代碼移除了,但底層代碼仍然留在那裏,仍然可以被重新激活去執行攻擊。