整理丨諾亞

出品 | 51CTO技術棧（微信號：blog51cto）

在美國迅速崛起并引起廣泛關注的中國購物應用Temu，其影響力之大，甚至有消息指出電商巨頭亞馬遜也正試圖效仿。然而，這款熱門應用如今卻陷入了爭議的漩渦。

Temu，中文名為“多多買”，是拼多多公司旗下的跨境電商平臺，于2022年9月在美國正式上線。其核心商業(yè)模式借鑒了拼多多在國內(nèi)的成功經(jīng)驗，主打低價策略和社交電商模式，通過大規(guī)模采購以降低成本，同時鼓勵用戶通過分享鏈接給朋友獲取額外優(yōu)惠，以此吸引大量用戶并快速擴大市場份額。

美國阿肯色州總檢察長蒂姆·格里芬于近日提起了一項訴訟，將Temu比作“危險的惡意軟件”，指控其未經(jīng)用戶授權，暗中收集并利用大量個人數(shù)據(jù)。

圖片

1.被指責的應用設計

根據(jù)格里芬引用的研究報告與媒體披露，Temu的設計被認為存在惡意目的，故意給予自身對用戶手機操作系統(tǒng)的全面訪問權限，范圍涵蓋攝像頭、精確地理位置、通訊錄、短信、文件以及安裝的其他應用等敏感信息。

格里芬表示：“Temu的應用設計得非常隱蔽，即便是技術高手也很難注意到它廣泛的訪問權限。一旦裝上，這個應用能自我修改并改變特性，甚至能覆蓋用戶自設的數(shù)據(jù)隱私保護設置，讓人防不勝防。”他擔憂的是，Temu幾乎能獲取手機上的所有數(shù)據(jù)，無論你是使用者還是未使用的人，都可能面臨極高的隱私和安全威脅。

訴訟中提到，如果你的朋友安裝了這款購物App，就算你只是給他們發(fā)個短信或郵件，你的私人信息也可能不安全了。因為Temu可能會收集這些信息，據(jù)說還會把它們賣給其他人來賺錢，這樣一來，用戶的隱私權利就被“無情侵犯”了。

2.被懷疑的運營企圖

更讓人擔心的是，由于中國的法律規(guī)定公司需要跟情報部門合作，Temu的母公司PDD控股集團，即使面對美國的數(shù)據(jù)保護規(guī)定，可能也得按照中國法律把數(shù)據(jù)分享給中國政府，這讓用戶的隱私風險“大大增加”。

格里芬在他的起訴中提到了一個名叫Grizzly Research的機構去年9月份做的詳細調(diào)查。這個機構專門分析上市公司，好讓投資者們了解情況。Grizzly Research在報告里直指PDD控股集團是個“騙人的公司”，并且說“Temu應用程序是個藏得很深的間諜軟件，對美國的安全有著急迫的威脅。”

格里芬認為，Temu用打折和好貨的承諾來引誘顧客，還通過像玩轉(zhuǎn)盤贏優(yōu)惠這樣的讓人上癮的小游戲，讓大家頻繁登錄，實際上是為了收集更多的個人信息。而且，格里芬指出，很多人向商業(yè)改進局投訴說Temu賣的東西質(zhì)量不好，這似乎證實了他的想法：Temu的真正目的不是要做成全球頂尖的購物應用，而是要盜取數(shù)據(jù)。調(diào)查人員也站在他這邊，他們覺得“Temu很可能會非法賣掉從歐美用戶那偷來的數(shù)據(jù)，來挽救一個本來注定失敗的商業(yè)模式。” 

3.來自Temu的反擊：純屬無稽之談

為了制止Temu可能的監(jiān)視活動，格里芬正尋求法院發(fā)布禁令。他期望陪審團能認定，Temu的這些做法違反了阿肯色州的《反欺詐貿(mào)易行為法》和《個人隱私保護法》。如果法庭判Temu敗訴，它每違反一次《反欺詐貿(mào)易行為法》就可能要支付1萬美元罰款，并且可能被迫交出通過販賣數(shù)據(jù)和應用內(nèi)虛假交易所得的全部收益。

對此，Temu的一位發(fā)言人向Ars網(wǎng)站發(fā)表聲明，對Grizzly Research的調(diào)查報告提出了質(zhì)疑，并表示公司對阿肯色州檢察官“未經(jīng)獨立查證就起訴”感到“震驚和失望”。

發(fā)言人強調(diào)說：“訴訟中的那些說法是基于網(wǎng)絡上流傳的不實信息，源頭主要是某個企圖做空我們的機構，這些指責純屬無稽之談。我們堅決反對這些無端的指控，并將積極為自己辯護。”

“作為采用新穎供應鏈模式的新興企業(yè)，我們認識到自己可能初看起來讓某些人感到陌生，甚至不那么受歡迎。我們一心一意追求長遠發(fā)展，并相信經(jīng)過深入審查，這一切都將促進我們的成長。我們堅信，隨著時間的推移，我們的實際行動和對社會的積極貢獻會為我們贏得應有的認可。”

4.危險來自哪里

盡管面臨安全與隱私方面的質(zhì)疑，Temu去年仍一躍成為美國下載量最高的應用，其受歡迎程度持續(xù)攀升。

格里芬的起訴中提到，去年，Temu成為了美國下載量最多的應用程序，而大多數(shù)用戶無從得知這款應用涉嫌收集“大量敏感用戶數(shù)據(jù)”，這些數(shù)據(jù)“超出了一個在線購物應用的必要范圍”。

根據(jù)格里芬的表述，Temu涉嫌通過具有誤導性的服務條款和隱私政策來掩蓋其對數(shù)據(jù)的未經(jīng)授權訪問，這些政策沒有向用戶警示應用程序可能收集的數(shù)據(jù)的全部范圍。這包括未告知用戶為了未明確的目的追蹤精確位置信息，以及“甚至收集用戶的生物識別信息，如指紋”。

應用商店的安全掃描并未標記Temu的風險，格里芬稱，因為Temu可以在“被下載到用戶手機后更改自己的代碼”——這意味著一旦通過安全檢查點，它本質(zhì)上能夠轉(zhuǎn)變?yōu)閻阂廛浖?/p>

圖片

這似乎使得Temu能夠“利用”用戶的個人身份信息（PII）“及其他數(shù)據(jù)，或以未知且無法預知的方式控制用戶設備”。

為了實現(xiàn)這一目的，與拼多多類似，Temu據(jù)稱依賴于旨在實現(xiàn)“權限提升”的代碼設計，這是一種網(wǎng)絡攻擊類型，利用操作系統(tǒng)漏洞獲得超出授權級別的數(shù)據(jù)訪問權限。

Grizzly Research還發(fā)現(xiàn)了一項關鍵點：Temu應用似乎能輕松規(guī)避安全檢查，這得益于其源代碼中一個“代碼命名模糊化”的技巧。這個技巧十分隱蔽，以至于無論是安裝前后，還是在執(zhí)行深度滲透測試時，安全掃描都無法察覺。

起訴進一步指出，Temu有可能在遭遇安全掃描時，通過簡單地變換其行為表現(xiàn)，來逃避那些旨在發(fā)現(xiàn)惡意軟件的調(diào)試工具。

此外，有報告揭示Temu在安卓設備上利用了一項權限，這項權限被谷歌標記為存在“高度風險或涉及敏感操作”，允許它在未經(jīng)用戶“知情或同意”的情況下安裝任意軟件。盡管部分應用確實因功能所需采用此類權限，但格里芬強調(diào)，在一個定位為電子商務平臺的Temu應用上，擁有這樣的權限并無合理解釋。

他警告稱，“繞過手機安全系統(tǒng)的能力是危險的，因為它可能允許Temu讀取用戶的私人信息、更改手機設置并跟蹤通知。”這就是為什么Grizzly Research認為Temu是“目前廣泛流傳的最危險的惡意軟件/間諜軟件包”。

根據(jù)Statista的數(shù)據(jù)，隨著安全和隱私風險報告的出現(xiàn)，Temu的受歡迎程度不減反增。5月份，“該應用在全球范圍內(nèi)被下載超過5.2億次，使其比亞馬遜更受歡迎。”隨著Temu人氣飆升，格里芬希望介入，制止可能影響數(shù)百萬人的欺詐性和侵犯隱私的貿(mào)易行為。

參考鏈接：

https://it.slashdot.org/story/24/06/27/1945211/shopping-app-temu-is-dangerous-malware-spying-on-your-texts-lawsuit-claims