在美國迅速崛起并引起廣泛關注的中國購物應用Temu,其影響力之大,甚至有消息指出電商巨頭亞馬遜也正試圖效仿。然而,這款熱門應用如今卻陷入了争議的漩渦。
Temu,中文名為“多多買”,是拼多多公司旗下的跨境電商平台,于2022年9月在美國正式上線。其核心商業模式借鑒了拼多多在國内的成功經驗,主打低價政策和社交電商模式,通過大規模采購以降低成本,同時鼓勵使用者通過分享連結給朋友擷取額外優惠,以此吸引大量使用者并快速擴大市場佔有率。
美國阿肯色州總檢察長蒂姆·格裡芬于近日提起了一項訴訟,将Temu比作“危險的惡意軟體”,指控其未經使用者授權,暗中收集并利用大量個人資料。
被指責的應用設計
根據格裡芬引用的研究報告與媒體披露,Temu的設計被認為存在惡意目的,故意給予自身對使用者手機作業系統的全面通路權限,範圍涵蓋攝像頭、精确地理位置、通訊錄、短信、檔案以及安裝的其他應用等敏感資訊。
格裡芬表示:“Temu的應用設計得非常隐蔽,即便是技術高手也很難注意到它廣泛的通路權限。一旦裝上,這個應用能自我修改并改變特性,甚至能覆寫使用者自設的資料隐私保護設定,讓人防不勝防。”他擔憂的是,Temu幾乎能擷取手機上的所有資料,無論你是使用者還是未使用的人,都可能面臨極高的隐私和安全威脅。
訴訟中提到,如果你的朋友安裝了這款購物App,就算你隻是給他們發個短信或郵件,你的私人資訊也可能不安全了。因為Temu可能會收集這些資訊,據說還會把它們賣給其他人來賺錢,這樣一來,使用者的隐私權利就被“無情侵犯”了。
被懷疑的營運企圖
更讓人擔心的是,由于中國的法律規定公司需要跟情報部門合作,Temu的母公司PDD控股集團,即使面對美國的資料保護規定,可能也得按照中國法律把資料分享給中國政府,這讓使用者的隐私風險“大大增加”。
格裡芬在他的起訴中提到了一個名叫Grizzly Research的機構去年9月份做的詳細調查。這個機構專門分析上市公司,好讓投資者們了解情況。Grizzly Research在報告裡直指PDD控股集團是個“騙人的公司”,并且說“Temu應用程式是個藏得很深的間諜軟體,對美國的安全有着急迫的威脅。”
格裡芬認為,Temu用打折和好貨的承諾來引誘顧客,還通過像玩轉盤赢優惠這樣的讓人上瘾的小遊戲,讓大家頻繁登入,實際上是為了收集更多的個人資訊。而且,格裡芬指出,很多人向商業改進局投訴說Temu賣的東西品質不好,這似乎證明了他的想法:Temu的真正目的不是要做成全球頂尖的購物應用,而是要盜取資料。調查人員也站在他這邊,他們覺得“Temu很可能會非法賣掉從歐美使用者那偷來的資料,來挽救一個本來注定失敗的商業模式。”
來自Temu的反擊:純屬無稽之談
為了制止Temu可能的監視活動,格裡芬正尋求法院釋出禁令。他期望陪審團能認定,Temu的這些做法違反了阿肯色州的《反欺詐貿易行為法》和《個人隐私保護法》。如果法庭判Temu敗訴,它每違反一次《反欺詐貿易行為法》就可能要支付1萬美元罰款,并且可能被迫交出通過販賣資料和應用内虛假交易所得的全部收益。
對此,Temu的一位發言人向Ars網站發表聲明,對Grizzly Research的調查報告提出了質疑,并表示公司對阿肯色州檢察官“未經獨立查證就起訴”感到“震驚和失望”。
發言人強調說:“訴訟中的那些說法是基于網絡上流傳的不實資訊,源頭主要是某個企圖做空我們的機構,這些指責純屬無稽之談。我們堅決反對這些無端的指控,并将積極為自己辯護。”
“作為采用新穎供應鍊模式的新興企業,我們認識到自己可能初看起來讓某些人感到陌生,甚至不那麼受歡迎。我們一心一意追求長遠發展,并相信經過深入審查,這一切都将促進我們的成長。我們堅信,随着時間的推移,我們的實際行動和對社會的積極貢獻會為我們赢得應有的認可。”
危險來自哪裡
盡管面臨安全與隐私方面的質疑,Temu去年仍一躍成為美國下載下傳量最高的應用,其受歡迎程度持續攀升。
格裡芬的起訴中提到,去年,Temu成為了美國下載下傳量最多的應用程式,而大多數使用者無從得知這款應用涉嫌收集“大量敏感使用者資料”,這些資料“超出了一個線上購物應用的必要範圍”。
根據格裡芬的表述,Temu涉嫌通過具有誤導性的服務條款和隐私政策來掩蓋其對資料的未經授權通路,這些政策沒有向使用者警示應用程式可能收集的資料的全部範圍。這包括未告知使用者為了未明确的目的追蹤精确位置資訊,以及“甚至收集使用者的生物識别資訊,如指紋”。
應用商店的安全掃描并未标記Temu的風險,格裡芬稱,因為Temu可以在“被下載下傳到使用者手機後更改自己的代碼”——這意味着一旦通過安全檢查點,它本質上能夠轉變為惡意軟體。
這似乎使得Temu能夠“利用”使用者的個人身份資訊(PII)“及其他資料,或以未知且無法預知的方式控制使用者裝置”。
為了實作這一目的,與拼多多類似,Temu據稱依賴于旨在實作“權限提升”的代碼設計,這是一種網絡攻擊類型,利用作業系統漏洞獲得超出授權級别的資料通路權限。
Grizzly Research還發現了一項關鍵點:Temu應用似乎能輕松規避安全檢查,這得益于其源代碼中一個“代碼命名模糊化”的技巧。這個技巧十分隐蔽,以至于無論是安裝前後,還是在執行深度滲透測試時,安全掃描都無法察覺。
起訴進一步指出,Temu有可能在遭遇安全掃描時,通過簡單地變換其行為表現,來逃避那些旨在發現惡意軟體的調試工具。
此外,有報告揭示Temu在安卓裝置上利用了一項權限,這項權限被谷歌标記為存在“高度風險或涉及敏感操作”,允許它在未經使用者“知情或同意”的情況下安裝任意軟體。盡管部分應用确實因功能所需采用此類權限,但格裡芬強調,在一個定位為電子商務平台的Temu應用上,擁有這樣的權限并無合了解釋。
他警告稱,“繞過手機安全系統的能力是危險的,因為它可能允許Temu讀取使用者的私人資訊、更改手機設定并跟蹤通知。”這就是為什麼Grizzly Research認為Temu是“目前廣泛流傳的最危險的惡意軟體/間諜軟體包”。
根據Statista的資料,随着安全和隐私風險報告的出現,Temu的受歡迎程度不減反增。5月份,“該應用在全球範圍内被下載下傳超過5.2億次,使其比亞馬遜更受歡迎。”随着Temu人氣飙升,格裡芬希望介入,制止可能影響數百萬人的欺詐性和侵犯隐私的貿易行為。
參考連結:
https://it.slashdot.org/story/24/06/27/1945211/shopping-app-temu-is-dangerous-malware-spying-on-your-texts-lawsuit-claims