拼多多，正在偷窥我们的隐私？

互联网时代，我们真的还有隐私吗？

01

拼多多攻击用户手机

我这辈子走过最长的路，是拼多多的套路。

谁也说不准，在拼多多免费拿下一件商品，需要朋友砍多少刀。

之前有个游戏主播超级小桀直播邀请观众一起砍拼多多，砍两小时，砍到小数点后六位，六万人在线没砍下一台手机。

随后该主播致电拼多多人工客服，但该客服直接挂断了主播电话。

六万人能砍下一座城，却砍不下来拼多多一个手机。

不过最可怕的还不是砍一刀，而是你帮他砍一刀，它把你看精光。

前几天，网上就曝出了拼多多利用系统漏洞攻击用户手机的情况。最初是南方日报报道出来的：

国内知名独立数据安全研究服务机构深蓝DarkNavy日前发布一则报告称，有知名互联网厂商通过挖掘安卓厂商OEM代码中的反序列化漏洞攻击用户手机。

拼多多安装好那一刻就监控了你的手机，在获取系统权限之后，主要做了下面几件事（正常 App 无法或者很难做到的事情）：

1.自启动、关联启动相关的修改，偷偷打开或者默认打开：与手机厂商斗智斗勇

2.开启通知权限

3.监听通知内容

4.获取用户的使用手机的信息，包括安装的 App、使用时长、用户 ID、用户名、社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息等等、

5.修改系统设置

6.整一些系统权限的工具方便自己使用.....

简单来说：看看自己的用户在淘宝、京东这些竞争对手那里的数据情况，给自己“保活”，顺手防止自己被卸载。

具体的实现路径是拼多多使用了某黑客技术手段，利用安卓手机厂商 OEM 代码中的反序列化漏洞，进行攻击。

这种黑客手段能够绕过我们手机的系统校验，获取系统级 StartAnyWhere 能力获得提权，进而就可以控制整个手机系统。

最后绕过隐私合规监管，收集用户的隐私信息。

02

窃取用户数据的惯犯

拼多多虽然一个劲在偷窥用户数据，但对于自己的数据安全人家还是很重视的。

此前他们就曾以“数据安全”为由，开除了一名带电脑回家办公的员工，被法院认定违法辞退，判赔17万余元。

可见在保护自己数据安全方面的工作还是很重视的。但在保护用户数据方面，不知是有意还是故意，总是漏洞百出。

上一分钟注册的信息，下一分钟的营销短信到手机上了，好歹给点儿反应时间啊。

哪怕你用的是台老年机除了接听电话什么也干不了，却能收到拼多多的快递链接。

之前在网络平台，也爆出了疑似拼夕夕窃取用户微信数据的情况。

图一是当事人头一天晚上讨论的粘牙糖。

图二是当事人在当天晚上打开拼多多看到的粘牙糖。

说实话我有点害怕了 如果这是真的，如果聊天记录也能被窃取监视，那么我们的微信密码有何用？

你好好做个购物软件，不停地收集用户手机、微信信息、地址信息、浏览信息，作为用户，真的害怕啊！

其实拼多多在数据安全方面做过的恶，还远不止如此。

2021年的时候就有过这样一个事件：一男子在使用拼多多软件时，参与了软件中“邀请1人，直接提现100元”的活动。

活动完成之后平台并没有给其100元钱，而是给其30元。

他向拼多多后台客服投诉，客服称此活动完成后所给的金额是随机金额，而男子随即把活动的标题与图片发给拼多多的客服，并质疑其虚假宣传。

之后令人费解的事情发生了，在与拼多多客服争论之时，他发现自己手机相册里的证据照片没了。

其手机状态栏提示：“检测到拼多多已删除你的相册里的照片或者视频”。后在相册回收站里找到了被删除的相片。

是的，拼多多就是这么霸道，能够直接进手机删除你的照片。

还有拼多多会在用户手机上把自己的图标替换成了widget（桌面小部件），这么做的目的大概率也就是为了逃避卸载。

当用户把桌面小部件删除之后，app还是安装在你的系统中，还是可以给你推送消息，并且点击消息可以进入到拼多多app。

如果一家企业，用这种非常规甚至带有“流氓”性质的手段，来捆绑裹挟消费者，费尽心思留住消费者，那么说明这家企业已经心虚了，只会适得其反、徒增厌恶。

03

万物互联时代，数据安全太难了

中国用户隐私不值钱是出了名的：

奔驰、大众质量召回门，全球免费召回，除了中国地区;

苹果"降速门",全球用户获赔5亿美金，除了中国地区......

我们对于消费者权益的保护，对于个人隐私的数据，实在太薄弱了，重视程度远远不够。

利用如此环境，各大互联网APP真的是八仙过海，各显其能......

APP越来越庞大，占用的资源越来越多，要各种权限，最好能给的权限全部都给了，尽量榨干净任何信息的价值。

他们榨取信息干什么用呢？能搞出创新？

互联网行业，尤其是电商领域，在拉客、揽客、搞促销、搞竞争方面从来不留余力。

1月有元旦节、年货节；

2月有情人节大促、开学季；

3月有吃货节、女王节、女神节；

4月有粉丝节、超级品牌日；

5月有520大促、闺蜜节；

6月有端午节、618年中大促；

7月有狂暑季、购物节；

8月有七夕、88大促、开学季；

9月有中秋、划算节；

10月有国庆、双十品牌团；

11月有双十一、感恩节；

12月有双十二、双旦礼遇季等等。

所以他们拿到这些数据无非一个目的：各种花式推广告，广告无处不在，见缝插针；然后研究客户画像，你喜欢什么就给你推送什么。

当然了，也为了自身考核的原因，因为现在的大厂就是各种KPI，日活，留存，转化····

考核什么就弄什么。

毕竟互联网经济发展如此之快就靠三个东西：如何低成本快速获取流量，如何把流量变现，如何实现快速迭代。

数据便是他们流量获取、流量变现以及产品迭代的底层支撑。

所以这一块领域一定是数据泄露和平台偷窥客户隐私的重灾区。

2020年5月，工信部公布首批《关于侵害用户权益行为的APP通报》。

其中，许多头部app赫然其中。

腾讯QQ、QQ阅读、小米金融、人人视频......

主要涉及的“私自收集个人信息”、“私自共享给第三方”、“强制用户使用定向推送功能”、“超范围收集个人信息”、“过度索取权限”、“不给权限不让用”......

过分一点的话，连家里有几个人，都是什么职业，住址是哪儿，家里养了几条狗以及狗分别叫什么名字都知道。

因此，我们必须坚决抵制随意收集个人隐私、滥用个人隐私数据的违法行为。

首先在顶层设计层面要有足够的重视——

《反垄断法》、《中华人民共和国网络安全法》、《数据安全法》、《个人信息保护法》真的该用起来了。

就像工信部公布的侵害用户权益行为APP的通报，就是开了个很好的头，但仅仅依靠于此还不够，还要有足够强力的行政手段、司法手段来配合，该罚的罚，该抓的抓。

其次，要培养一批实力足够强的数据安全公司，用市场主体去对付市场行为。比如启明星辰最新的数据安全治理管控平台，组成防控一体的数据安全整体解决方案。目前，已经广泛布置于政府、公安、医疗等领域。

随着互联网迈入产业互联的下半场，不仅是用户隐私安全需要保障，更需要构建一个关系到更大范围的大数据安全网络。

至少保护我们最后一方个人隐私数据的净土。