拼多多被卡巴斯基检出恶意代码涉诱导欺骗、盗

　　有人说拼多多是21世纪电商时代横空出世的“一匹黑马”，也有人认为拼多多的缺点太多，商品质量得不到保证、而且“砍一刀”等裂变玩法明显“假大空”，还有欺骗消费者的嫌疑。

　　然而，在拼多多走向国际市场之后，国内的一些常规玩法似乎就有些行不通了。近日，拼多多陷入了安全丑闻，不仅被谷歌从应用商店中下架，还被俄罗斯安全研究机构卡巴斯基实验室曝出应用含有恶意代码。

　　据卡巴斯基实验室报告，拼多多利用了安卓系统中的一个零日漏洞，提升了自己的权限，并窃取了用户的个人数据，并在用户不知情的情况下安装了恶意应用。而这些恶意应用可能会进行诈骗、盗取银行信息、发送垃圾短信等恶意行为，对用户信息安全造成极大隐患。

　　此消息一出便引发广泛关注，“拼多多卡巴斯基“词条还一度登顶微博热搜，截至目前该词条已经破百万阅读量。

　　《拾盐士》了解到，卡巴斯基是俄罗斯知名的反病毒软件实验室。该实验室指控拼多多软件“安装程序存在恶意代码，这种恶意代码不仅破坏用户的手机系统，而且极有可能盗取用户的敏感信息。”

　　它甚至还给出了一篇详细的“拼多多恶意行为分析报告“，内容涉及拼多多的保活行为、诱导欺骗行为、防卸载行为、信息收集行为、攻击感染用户信息行为等，不禁令人细思极恐。

　　上述报告中提到的保活行为，是指拼多多可以通过将自己加入到系统“白名单”等手段，而绕过系统的强制休眠限制，在用户不知情的情况下持续活跃在后台。

　　这样一来，拼多多不仅可以实时向用户推送消息、收集用户的个人隐私信息、甚至还能监控到用户的操作以及其他APP，并且还会持续占内存、耗电量。

　　而拼多多的诱导欺骗和防卸载行为，事实上早已饱受诟病。很多用户在投诉平台上纷纷留言多条件搜索asp源码数据的方法有哪些优点和不足点，表示自己根本无法删除拼多多的软件，并称拼多多为“荒唐的流氓软件”。

　　有知名互联网厂商也表示，拼多多利用Android系统的漏洞窃取竞争对手软件的数据，同时还突破沙箱机制、绕开权限系统修改用户桌面配置隐藏自身或欺骗用户，以防止自身被卸载。

　　卡巴斯基在报告中还阐述了拼多多如何提升自身权限以破坏用户隐私和数据安全。它测试了通过中国本地应用商店分发的应用版本，包含来自华为、腾讯和小米的应用市场，并表示在拼多多部分版本中确实监测出了恶意代码。

　　卡巴斯基表示，“拼多多部分版本中的恶意代码，利用已知的Android漏洞提权，下载并执行额外的恶意模块，其中一些还获得了访问用户通知和文件的权限。我们的产品将这些版本检测为 HEUR:Backdoor.AndroidOS.Pinduo.a 。该应用程序的受感染版本是通过一个本地应用程序商店分发的。”

　　而就在卡巴斯基实锤拼多多的前几天，谷歌也以“安全预防措施”为由将拼多多从官方应用商店下架，并将拼多多归为“有害应用”asp教程，对已安装的用户发出警告提示卸载。

　　截至目前，拼多多对于卡巴斯基的指控暂未作出回应，只对于谷歌商店下架一事发布了声明，否认应用恶意代码，称谷歌下架是“技术原因”，并表示谷歌的声明不具备决定性。

　　但是，拼多多的回应似乎不够有力，也不足以让市场信服，此消息目前已经导致拼多多股价一度大跌超过7%，也成为了国内外舆论的焦点。

　　值得注意的是，拼多多在3月20日刚刚发布了2022年第四季度及全年财报，财报显示，其第四季度收入398亿元，同比增长46%，全年营收1306亿元，同比增长39%；2022年第四季度净利润94.537亿元，去年同期为66.2亿元，不及市场预期的97.5亿元。

　　目前，参与讨论此次拼多多事件的众多网友都纷纷表示，“再也不相信拼多多了”、“拼多多真是令人细思极恐”、“希望相关部门严查拼多多”……拼多多能否顺利度过这场危机，又该如何重赢消费者信任，目前仍是未知数。

　　有行业人士分析称，若消息属实，拼多多可能会面临一系列的处罚，例如受到用户投诉、面临政府监管、丢失海外市场份额等。此外，由于拼多多的商业模式存在一定的风险，未来也可能会面临更多的法律挑战和监管压力。