今年最令人震惊的侵害消费者行为,背后的水有多深?

潇湘经略 2023-03-15 16:09:32

作者 | 水哥来源 | 秋水笔弹

拼多多窃取数以亿计用户的隐私信息,固然令人愤怒,但是,更加令人震惊的是,大众媒体对此事件的集体沉默,极少数呼喊也被噤声,就在315消费者日当天,还有博主的帖子莫名消失,这背后是什么力量?

——水哥

再过几个小时,今年的315晚会就要开场了,很多企业做公关的朋友估计正在忐忑不安,不知道今年这锅会落在哪家头上。

其实在水哥看来,大家不用等了,今年最恶劣的侵害消费者行为已经曝光,无论今晚315晚会曝光啥,估计都没有这家企业的行为恶劣,更令人惊讶的是发酵这么多天,竟还没有主流媒体报道。

难得赶上315,我就给大家讲讲这个事,毕竟关系到数以亿计的用户信息安全问题。

今年2月28日,独立安全研究机构 DarkNavy 发表文章,标题是《2022 年度最“不可赦”漏洞》(此处附有原文链接)。

东方有十不赦,西方有七宗罪,都是非常严重的指控。这到底是一起怎样不可赦的事件?

其实情节并不复杂。互联网行业有一种职业,叫“白帽黑客”,顾名思义,其工作与“黑客”类似,就是攻击突破各种的信息安全防线,但是与真“黑客”不同,“白帽黑客”并不会利用这些漏洞做坏事,而是寻找安全漏洞,发现后及时修补,保护用户利益。

“白帽黑客”不是啥秘密,大型互联网公司为了产品安全,往往会主动雇佣他们,修补漏洞,从谷歌、微软到国内的巨头公司,都有大量这样的安全专家。

但是如果有一家巨头公司,它系统性的雇佣“白帽黑客”,却并不修补漏洞,而是把安全漏洞作为武器,以实现自己的商业目的,乃至侵害用户权益呢?

根据DarkNavy旗下微信公众号“深蓝”,这可能正是某家用户数亿的电商巨头在做的事情。

DarkNavy信息显示,这家公司持续挖掘安卓手机OEM代码漏洞,其公开发布的APP利用了手机厂商 OEM 代码中的反序列化漏洞,绕过手机系统的隐私合规监控,非法获取系统权限。根据其他爆料者的信息,该公司甚至针对华为、OPPO、vivo、小米等多家不同厂商的系统,这家公司甚至分别进行了专门的深入研究与入侵。

根据报告,在控制手机系统之后,这家公司可以开启一系列的违规操作,大肆收集用户的隐私信息,包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等,还会攻击手机中的其他应用,窃取用户数据。

该 App还进一步通过注入后门执行代码,进行更加隐蔽的长期驻留,达到无法卸载的效果;甚至还实现了和间谍软件一样的遥控机制,通过远端 “云控开关” 控制非法行为的启动与暂停,来躲避检测(相关技文章术分析链接已经附上,大家可以自己研究)。

2022 年,这家互联网厂商竟持续挖掘新的安卓OEM 相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞攻击。

DarkNavy强调,其技术分析和截图,均来自“此刻正发生在数以亿计手机上的真实案例”。

根据知乎作者Gracker的梳理,这家公司在获取了用户的手机系统权限后,可以自由的进行如下操作:

1、自启动、关联启动相关的修改,偷偷打开或者默认打开

2、开启通知权限

3、监听通知内容

4、获取用户的使用手机的信息,包括安装的 App、使用时长、用户 ID、用户名等

5、修改系统设置

6、整一些系统权限的工具方便自己使用

深蓝文章开头以三星手机OEM代码存在的漏洞举了例子,但是并没有明确指出是哪家电商巨头,也没有列明哪些厂商的OEM代码受到了该APP的攻击。

不过,各路大神挖掘出来的信息,都在指向一个事实——这家公司很可能就是我们人均砍一刀的刀哥?

一位名为davinci1010的大神,今年3月初直接在 GitHub发文,通过解压拼多多apk文件,证实了这家侵入了多家安卓手机系统的电商巨头就是拼多多,把矛头明确指向拼多多,更重要的是,给出了实锤,针对3月5日前更新的(6.49版本)的拼多多apk内嵌提权代码,及动态下发dex,davinci1010发布了详尽的分析文章,公布了拼多多apk完整的漏洞提权方法,以及实现细节。

随后也有知乎作者,对davinci1010发布的相关代码库进行了详尽的分析,证实拼多多入侵了小米、OPPO、vivo、华为等安卓以及鸿蒙系统的手机。

但是今天凌晨,水哥发现,该帖已经被删除。

但是该作者公众号的文章《当App有了系统权限,真的可以为所欲为?》(此处附有原文链接)还在。

这样一件在互联网安全领域不可赦的重大事件,已经被曝光半个月之久,在大众媒体当中,依然鲜见提及,在公众认知当中,更是罕为人知,是不是意味着咱们被操纵的可能还不止手机?

一、横扫安卓手机阵营

拼多多通过黑客手段利用了多个安卓手机厂商 OEM 代码中的反序列化漏洞,通过 App 控制了用户的整个手机系统。

davinci1010通过解压拼多多apk文件,找到拼多多apk中,提权代码所在的文件位置:

pinduoduo-6-49-0.zip\assets\component\com.xunmeng.pinduoduo.AliveBaseAbility.7z\com.xunmeng.pinduoduo.AliveBaseAbility\vmp_src\mw1.bin

这是一个加壳的dex文件,脱壳还原出代码,可以找到针对不同手机厂商系统的多个用于提权的漏洞利用代码。提权指的是,将用户权限从标准用户提升到管理员权限,是黑客利用系统漏洞侵入用户设备的决定性一步。

也就是说,拼多多通过招募顶尖的安全领域“白帽”黑客人才,实施了大规模的真黑客侵权行为。

DEX是Android平台上可执行文件的类型,通常也是黑客用以操纵目标设备的病毒文件类型。

知乎作者Gracker也对此davinci1010发布的《拼多多apk内嵌提权代码,及动态下发dex分析》所提供的的37 个Dex文件进行了详尽深入的分析。

除了深蓝文章提及的三星,这些文件指明拼多多对小米、OPPO、vivo、华为等手机厂商都进行了系统性的漏洞攻击,对用户手机实行了全面细致的偷窥以及操纵。

这种系统性操纵覆盖范围极广, 它可以将自己改为自启动,也就是开机就启动的软件,还有强行设置关联启动,你随便打开一个App,拼多多可能也会跟着启动,还有防止你卸载等权限,为了日活,可以说是无所不用其极,这成就了它的日活体量,却消耗了无数用户的系统资源以及时间,更重要是用户的不被侵犯的个人隐私权。

用户会把App 的通知给关掉,它可以重新给你开上,用户各种App的使用时长,甚至细致到你的桌面图标改动,它都能知道。

深蓝文章指出,该互联网厂商通过上述一系列隐蔽的黑客技术手段,在其合法 App 的背后,达成了一系列各种涉嫌违规违法目的,包括但不限于:隐蔽安装提升装机量、伪造提升 DAU/MAU。

根据去年年初的数据,仅仅在华为的应用市场里,拼多多就被显示安装次数达到了289亿次,你说算上所有安卓手机的,中国人人均下载了拼多多多少次。今天看来,跟拼多多这种骚操作是分不开的。

二、广募极客利用手机漏洞?

OEM代码是手机厂商向安卓系统中加入的代码,DarkNavy文章介绍称,从OEM代码中挖掘漏洞的难度,比从安卓系统本身中挖掘漏洞的难度要低得多,OEM代码的漏洞,因此也就成为了拼多多实现操纵用户手机目的的战略突破口。

从拼多多在各大手机厂商的安卓系统横行无忌,可以看到,拼多多显然对于针对华为、OPPO、小米、vivo等各个手机厂商的OEM代码进行了长期深入的研究。

之前种种关于拼多多网罗信息安全领域尖端人才,用以研究手机系统漏洞的种种传言,也似乎得到了证实。

下面是上文提及的知乎作者Gracker截取过的拼多多这样一个招聘信息,当时还对他们的这种深入研究的精神深表钦佩。

此前已经有业界安全大佬透露,拼多多招募信息安全界大佬Flanker入职后,曾多次要求他攻击用户手机和友商软件,大佬拒绝后,拼多多将其开除。

Flanker,真名何淇丹,曾是腾讯科恩实验室高级研究员,拼多多安全团队成员、资深安全专家,更是世界顶级黑客大赛Pwn2OwnMobile和PC双料冠军。

更有意思的是,2022全球黑帽大会(Black Hat)公布了网络安全领域中含金量最高的、被全球白帽黑客公认为“安全界奥斯卡”的2022年度“Pwnie Awards”。何淇丹因为发现的安卓操作系统安全漏洞,赢得了该年度Pwnie Awards的最佳提权漏洞奖。

2020年12月,已在拼多多工作4年有余的Flanker发布了离职声明。

根据协议Flanker在拼多多工作满5年便可以拿到价值上亿元的股票,因此,他的突然离职引发了外界诸多猜测。

腾讯KEEN团队创始人王琦当时也在朋友圈中提及了Flanker离开拼多多的原因,早在2019年,Flanker就曾和他聊过拼多多管理层强制给他违法任务并在他拒绝后百般刁难。此次Flanker离职前再度提及因拒绝违法攻击而被拼多多刁难。

也就是说,拼多多雇佣极客从事违法违规行为,并非空穴来风。

2021年1月5日,Flanker连发了两条破坏计算机系统罪的普法微博,暗指拼多多让其从事非法活动。

关于网络安全,国家已经三令五申多次出台相关法律法规,超额利润有时真的可以让人践踏人间法律。

2021 年施行的《网络产品安全漏洞管理规定》第四条明确规定:“任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动。”《网络安全法》、《个人信息保护法》也有相关的规定。

信息安全专家sunwear3月8日也发布微博称:“前几天有人发布了一条有关pdd的程序会在用户手机用漏洞进行提权获取系统最高权限……我只从技术角度说,pdd官方app解压开asset里有一个AliveBaseAbility 就是提权的,用vmp加固的,脱壳即现。当天曝光后程序立马就进行了更新。”

3月9日Flanker也转发了这条微博,并且于3月14日转发了另一条指证拼多多入侵用户系统的微博,都侧面佐证了拼多多的相关违法事实。

三、中国需要什么样的公司?

《狂飙》里面的刀哥,在利益问题面前,锱铢必较,一言不合就动刀子。

最爱以社交压力逼人砍朋友一刀的拼多多,在操刀用户手机这件事情上面,颇有刀哥遗风。

当然刀哥的结局很悲催。

深蓝的文章也暗指,拼多多在名气的遮掩下利用漏洞牟利,将白帽变成黑帽,更会让用户和行业受伤。正如该文所言,这些行为不仅拉低了行业底线,破坏了公平竞争,更严重侵犯了用户的隐私,可能违反相关法律法规。

法律的事情,固然,还是要交给法律,但是,商业也有商业的规则,德鲁克说过这么一段话:“企业为了生存,必须招募最能干、教育水准最高、最能全力以赴的年轻人来为公司服务。为了吸引和留住优秀人才,企业只许诺他们前途、生活和经济上的成功还不够,必须给年轻人愿景和使命感,满足他们希望能对社会有所贡献的愿望。换句话说,企业管理者必须具备高度的社会责任感,才能达到未来管理者的自我要求。”

一个没有正确价值观引导的公司,就像一个盲人开车,在一个到处是急弯与悬崖的市场里面狂奔,速度越快,终点越近。

有些公司在侵犯用户隐私的道路上越走越远,甘心与世界为敌,也有些企业在保护用户隐私以及权利的道路上坚持不懈,不惜与自己大批金主客户为敌。

苹果走到今天,与其高度自治的系统,以及异常严格的用户隐私保护是分不开的。

早在2017 年,苹果就推出了智能防追踪功能,默认定期清除浏览器 cookies 缓存,以阻断广告平台对用户长期的跨网页追踪。

在苹果的系统进化过程当中,隐私保护功能也在不断进化。在2020年 iOS 14 上,苹果做出了一个更加激进的决定,当用户第一次打开 App 时,iOS 会主动询问用户,是否同意 App 对你进行跨网站、App 的追踪?而且苹果App 开发者不能因为用户拒绝被追踪,就限制用户正常使用 App。

这改变了整个线上广告行业的游戏规则,Facebook进行过测试,根据新规,广告收入出现了50%的断崖式下跌。

虽然这个决定推迟了一年执行给予广告商更多的调整时间,但是这个决定最终得到了严格的落地。为了推动这个决定苹果可以说是排除万难,得罪了自己生态系统上几乎所有头部玩家,也得罪了整个广告行业,选择了与整个硅谷背道而行。

事实上,同样选择了不计成本的保护用户隐私权利的科技巨头,并不是只有苹果。

2019年5月,旧金山市对人脸识别技术发出了禁令,禁止该技术在政府机关和执法机关中使用,从而成为全球首个对人脸识别技术发出禁令的城市。第二个月,微软就做出了坚决的响应,悄然删除其最大的公开人脸识别数据库——MS Celeb。此数据库当时已经拥有超过1000万张图像,将近10万人的面部信息。在微软删除该资料库前,已经有多个商业组织在使用,可以说已经是一项非常成功的商业化项目。

就在旧金山出台禁令前一个月,微软已经拒绝了一家执法机构在警车上安装人脸识别设备的大单。

除了研发成本、项目运转成本、团队人力成本,各种多年投入的心血,到客户的违约金,以及商业收入,可以说,这种果断叫停,是需要壮士断臂一样的决心的,但是对于保护用户权益,赢得更广泛的人心、市场以及长期的机会,这依然是一笔非常值得买卖。

事实上,外国对用户隐私的尊重,以及全方位的严格保护措施,是值得我们深思与学习的。

苹果、微软做出这些看似惊人的选择,并不完全只是一个善良的问题,更多也是一种长期的商业策略,它们的选择更多是基于企业长期的业务发展,而不是只顾眼前一锤子买卖的蝇头小利。

就像拼多多此次事件,问题也并不仅仅是在于良心,可能更多在于远见、价值观、愿景、使命的缺失,而这种缺失,会造成企业一系列的业务、竞争方式、日常运营以及商业模式上的扭曲,这也解释了,为什么类似这种罔顾用户的事件,为什么在拼多多屡见不鲜,一个不能将用户利益放在第一位,甚至随意践踏用户权益的企业,注定会被用户所抛弃。

这位拒绝了拼多多所有威逼利诱的Flanker,今年1月25日在微博写下了这么一段话:“看到流浪地球2里太空电梯全速上升的一幕,又想起了大刘的另两本小说:朝闻道与赡养人类。有人以艺术信仰追求科学,有人为泽被万民默研工程;有人敛不义之财滥用技术,更多人却为了生活困于系统。”

人与人,公司与公司,都是在面临方向性抉择的分岔路口,走出了品牌、口碑与心智上面的巨大分野,从而塑造了短期与长期、市场份额、核心竞争力以及收入利润的巨大分野。

今天是315,这个起源于90年代的消费者节日,看上去是在曝光违法商家,但水哥觉得今天更是一个“市场经济的节日”,是所有合法经营的企业的节日,让商家违法行为曝光在舆论之下,不仅是在保护消费者权益,更是保护持续为用户创造价值的企业,保护我们的具有正向激励机制的市场秩序,不会出现劣币驱逐良币的低层次内卷。

只有当中国市场当中涌现出一大批更具远见,能够把技术能力、创新能力,应用到为用户创造更多利益的企业,我们经济的蓬勃发展与消费者幸福指数的提升,才会是同步上扬的,而不是相反。

不知道今晚315晚会不会有这家企业,总之水哥尽力了。

2 阅读:142

潇湘经略

简介:曾任世界五百强高管,长期研究顶层设计和产业变迁