没错，就是以“砍价”闻名的拼多多。在电商行业，拼多多的崛起很大程度上得益于“百亿补贴”的杠杆。但不太为人所知的是，拼多多快速获客的背后还有一个“不为人知的角落”。

近日，一位不愿透露姓名、曾在拼多多工作多年的网络安全专家向观察者网证实，拼多多在正版APP背后，采用了一系列秘密黑客技术，不断利用手机厂商和云服务的漏洞，以伪造增加月活跃用户、阻止用户卸载APP、攻击竞争对手、窃取用户隐私数据等目的。

（资料图）

无独有偶，中国、美国、俄罗斯等国的研究机构近日均发布报告，揭露拼多多利用漏洞，攻击主流手机系统，侵犯用户合法权益。俄罗斯网络安全公司卡巴斯基证实了上述指控。

有网友还在网上贴出详细的代码分析报告，直言拼多多把数亿用户设备变成了一个完全由其控制以牟利的僵尸网络，这是史上最大规模的入侵，“就连NSA（美国国家安全局）也做不到”。

观察者网就上述指控向拼多多寻求核实，但对方并未证实。

大量网络安全指控让拼多多再次成为争议焦点。不久前，这家电商巨头刚刚完成关键人事变动，董事长兼联席首席执行官陈磊将专注于海外业务。虽然此次漏洞攻击风波尚未牵连到拼多多海外平台TEMU，但随着舆论的不断发酵，无疑将给TEMU的全球化扩张蒙上阴影。

最“不可原谅”的漏洞利用

拼多多的网络安全危机其实在上个月就开始发酵。当地时间3月21日，谷歌发言人在一份声明中表示，Play在扫描应用商店时发现拼多多对应的安卓版本含有恶意软件，出于安全考虑，暂时下架该版本。

当时，据外媒报道，拼多多否认其含有恶意软件，并称谷歌不仅下架了拼多多，还下架了其他几款应用。“从谷歌笼统、不具结论性的回应来看，我们强烈否认拼多多应用含有恶意软件的猜测和指控，”拼多多发言人表示，“我们正在与谷歌沟通，以获取更多信息。”

但还未等谷歌得出具体结论，3月28日，俄罗斯卡巴斯基研究人员公开表示，拼多多APP部分版本含有恶意代码，可利用已知漏洞提升权限，下载并执行额外恶意模块，破坏并攻击用户手机系统，部分还能访问用户通知和文件。

有网友还在网上晒出长达20页的《PDD恶意行为分析​​报告》，其中提到拼多多不断利用手机厂商及云服务漏洞获取客户、留住用户，规避隐私合规监管，突破系统限制获取精准用户画像，突破系统限制触达大量用户推动交易转化。

广告

38岁女领导生活日记曝光，揭露职场内涵，让人头皮发麻

×

PDD恶意行为分析​​报告截图

这份报告保守估计，按年计算，拼多多通过强制用户安装APP获得了5000万新增用户，节省了1亿元的APP推广费用；还通过利用手机操作系统漏洞获得了40%的用户触达率，从而更加了解用户，GMV（商品交易总额）提升了40%，让拼多多的业务获得了火箭般的提振。

对于该报道，观察者网联系到了一位曾在拼多多工作多年、担任总监级职位的网络安全专家，他表示，网传报道内容基本属实，但最早发布指责拼多多报告的机构其实在中国。

PDD恶意行为分析​​报告截图

根据专家的建议，观察者网找到了一份名为《2022年最“不可饶恕”的漏洞》的报告，该报告由独立安全研究服务机构“安全研究”发布。

这份于今年2月28日发布的报告，虽然没有直接点名“拼多多”，但提到2022年某知名互联网厂商突破底线，不断挖掘新的安卓OEM相关漏洞，并在其公开发布的APP中对主流手机系统实施漏洞攻击。“原本应该守护安全的白帽子，却被滥用，沦为危害用户的黑帽子！”

据指控，这家互联网公司在自家看似无害的APP中使用了一系列隐蔽的黑客技术，以实现“隐藏安装增加安装量”、“假增加DAU/MAU”、“用户无法卸载”、“攻击竞争对手APP”、“窃取用户隐私数据”、“逃避隐私合规监管”等多种涉嫌非法目的。

虽然报道中没有直接点名任何公司，但前述匿名网络安全专家对观察者网表示，报道中提到的互联网公司就是拼多多，而拼多多利用漏洞、积极探索漏洞已是业内公开的秘密。

广告

因为得到了一位美女的赏识，他的人生轨迹改变了……

×

图片来源：

“我们从未见过这样的事情”

拼多多首席研究官 Mikko Hyppönen 表示：“我们从未见过这样的主流应用试图提升权限来访问它们不应该访问的内容。这对拼多多来说非常不寻常，甚至非常致命。”

继中国、俄罗斯研究机构相继发布有关拼多多的报告后，美国媒体CNN也在近日采访了多位网络安全专家，试图找到拼多多利用安卓操作系统漏洞的证据。一位专家在采访中表示，虽然很多公司都在未经同意的情况下收集用户数据，但拼多多将对隐私和数据安全的侵犯提升到了一个新的高度。

据美国有线电视新闻网（CNN）援引拼多多现任员工的话称，拼多多于2020年成立了一支约100名工程师和产品经理的团队，负责发现安卓手机中的漏洞，开发利用漏洞的方法，并将其转化为利润。

这位匿名员工兼所谓消息人士还透露，为了降低曝光风险，拼多多最初避开了北京、上海等特大城市的用户，只针对农村和小城镇的用户。通过收集大量用户活动数据，拼多多能够充分了解用户的习惯、兴趣和偏好，这使公司能够改进其机器学习模型，提供更个性化的推送和通知，以吸引用户打开应用程序并下单。

GMV从0到1000亿，京东用了10年，阿里巴巴用了5年，拼多多仅用了2.25年。

观察者网就CNN的报道联系到上述网络安全专家，他表示报道与实际情况相差无几，甚至有过之而无不及。该专家透露，CNN提到的百人工程团队属于拼多多的用户增长部，另有一个十余人的团队属于安全部。“双方都在找漏洞，可以理解为赛马。”

报道称，CNN联系了亚洲、欧洲和美国的6个网络安全团队，他们对2月底在中国应用商店发布的拼多多6.49.0版本进行了独立分析。与中国和俄罗斯机构的研究报告类似，他们也发现了旨在实现“特权升级”的代码，他们称之为一种网络攻击（），利用易受攻击的操作系统获取不应拥有的更高级别的数据访问权限。

“我们的团队对代码进行了逆向工程，可以确认它试图提升权限，试图访问 手机上普通应用无法执行的操作。”Mikko Hyppönen 表示，该应用能够继续在后台运行，并防止被卸载，从而提高其每月活跃用户数量。他补充说，拼多多还能够通过跟踪其他购物应用的活动来监视竞争对手并从中获取信息。

专门针对系统，驱逐那些拒绝进行非法攻击的有才华的黑客？

在中国，大约四分之三的智能手机用户使用，其余市场基本被安卓占据。

拼多多创始人表示，拼多多的恶意软件专门针对不同的安卓操作系统，包括三星、华为、小米、OPPO在内的主流安卓手机厂商都在基于开源安卓系统开发自己的系统，以便在自己的设备中添加独特的功能和应用。

据发现，拼多多利用了大约 50 个 系统漏洞。他表示，大多数漏洞都是针对原始设备制造商 (OEM) 代码定制的，这些代码通常比 开源项目审核更少，更容易出现漏洞。此外，拼多多还利用了 开源项目中的一些漏洞，包括去年 2 月标记的谷歌漏洞。

“我从未见过这样的事情，就像‘超级膨胀’一样，”他说，恶意软件漏洞允许拼多多在未经用户同意的情况下访问用户的位置、联系人、日历、通知和相册。他补充说，这些漏洞还可以被用来更改系统设置，访问用户的社交网络帐户和聊天记录。

这一发现与一份报告类似，该报告提到，拼多多APP在提升权限控制手机系统后，发起一系列违规操作，绕过隐私合规监管，收集用户的隐私信息（包括社交媒体账号信息、位置信息、Wi-Fi信息、基站信息，甚至路由器信息）。

技术分析和截图

面对漏洞攻击，手机厂商是否束手无策？观察者网联系了小米等手机厂商，截至发稿时尚未收到明确回复。不过，前述安全专家表示，手机厂商也是受害者，“贼喊捉贼，千日防贼”。手机厂商向拼多多投诉，但拼多多会以“不卖手机”或不结算广告费来威胁。

观察者网发现，早在两年前，拼多多涉嫌非法网络攻击事件就已引发公众关注。

当时有媒体报道称，这位天才黑客因拒绝从事黑客业务而被拼多多强制解雇。据公开资料显示，他原名何其丹，毕业于浙江大学少年班、香港科技大学，是蓝莲花团队早期核心成员、前腾讯科恩实验室高级研究员，曾担任拼多多安全团队总监、资深安全专家。

图片来源：知乎

19岁那年，他加入拼多多，然而2020年底，在拼多多工作即将满五年时，他却在微博宣布从拼多多辞职，称“我应得的各项权益都被公司否定了，我已经委托律师处理了”。随后，他在微博上连发三篇破坏电脑系统罪的科普文章，引发网友猜测。

不仅如此，不少网络安全业内人士也站出来发声。

比如，腾讯KEEN团队创始人、业内被称为“大牛蛙”的王奇就在朋友圈透露，早在2019年他就曾谈及拼多多管理层逼迫他做违规任务，并在他拒绝后刁难他；“这次离职前，在我拒绝违规攻击，被拼多多刁难时，我又和他沟通过，拼多多的鲁莽再次让我吃惊。”

网上流传的王琪朋友圈截图

观察者网查察查察发现，微信运营主体的实际控制人是王奇。根据其个人资料，他是安全技术专家科恩云创始人兼CEO，而科恩云的实际控制人则是马化腾。也就是说，曝光“知名互联网厂商”漏洞攻击的人和发声反对的人是同一个王奇。

观察者网尝试联系对方，但其表示暂时不接受采访。

解散漏洞挖掘团队，海外发展黯然失色

经跨国研究团队曝光后，美国有线电视新闻网（CNN）援引两名专家的话称，拼多多于3月5 日发布了应用程序6.50.0更新版本，消除了这些漏洞。

据拼多多内部人士透露，在应用更新两天后，拼多多解散了发现漏洞的工程师和产品经理团队。第二天，团队成员发现自己无法使用拼多多定制的职场通讯应用Knock，无法访问内网文件。

这位所谓的消息人士称，拼多多工程师还发现，他们对大数据、数据表和日志系统的访问权限被取消，团队中大部分人被调到拼多多海外平台Temu工作。据该消息人士透露，他们被分配到子公司的不同部门，其中一些人负责市场营销或开发推送通知。

拼多多在美国上市

不过，这些消息人士还透露，拼多多仍保留着约 20 名网络安全工程师的核心团队，专门发现和利用漏洞。该公司表示，虽然漏洞已被删除，但底层代码仍然存在，可以重新激活进行攻击。

今年 3 月拼多多下架时，谷歌曾表示，同样由拼多多运营的购物应用 TEMU 未受影响，仍可下载。不过，拼多多漏洞攻击的铺天盖地的报道，不免让 TEMU 受到更多关注，目前该应用在美国下载排行榜上高居榜首，在其他西方市场也迅速扩张。

美媒CNN报道称，尽管TEMU暂时没有受到牵连，但拼多多的涉嫌行为可能会给其姊妹应用程序的全球扩张蒙上阴影。

就在漏洞攻击事件掀起巨大风波之际，拼多多宣布重大人事调整，80后赵嘉祯出任新联席CEO，负责国内业务，而原本同时掌管国内外业务的董事长兼CEO陈雷则将重心转移至海外业务。在外界看来，让陈雷专管海外业务，体现了拼多多对海外业务的战略升级。