近日,硅谷巨头谷歌发现拼多多控股股份有限公司(PDD Holdings Inc.)旗下的的主要购物应用程序拼多多未经授权的软件版本中存在恶意插件后,已开始暂停该软件在Play Store的下载和使用。但目前拼多多公司旗下另一购物应用Temu仍可以继续下载使用1

此次谷歌应用商店下架拼多多 apk 的事件不能简单理解为中美互联网垄断企业之间的狗咬狗,而要理解为以拼多多为代表的私有软件的罪恶终于大到了连别国的互联网巨头也无法忍受的地步,因为拼多多对用户隐私的侵犯有研究报道可以证明,且用户对拼多多的侵犯用户个人信息的不满也由来已久,“天下苦拼多多久矣”。

根据公开信息2,拼多多利用安卓系统的漏洞,能够控制整个操作系统,在用户的设备上为所欲为,任意执行它提供的代码,进而窃取用户数据如短信、通讯录等,以及其他应用程序保存的数据,最终上传到拼多多公司。除此之外,拼多多还要达到禁止用户卸载,攻击竞争对手 App,隐蔽安装,逃避隐私合规监管等等。好比商人拼多多为了“方便用户订货”送给用户专用话机,但这话机其实内藏音视频传感器,不仅能窃听用户与其他商家、用户之间的通话,还能够窥视用户家中包括浴室茅房在内的一切,甚至连电源门锁都要控制住,俨然用户家中的太上皇。用户以为使用拼多多就能获得优惠和打折,却不知道自己的个人信息早已被拼多多暗中窃取打包出售。

靠着廉价网购的噱头,拼多多吸引了很多经济不发达的内陆地区的中老年用户,这些中老年用户对电子产品的使用较为生疏,软件管理能力低下,对个人信息的保护意识欠缺,他们使用的手机设备也往往性能较低且系统版本老旧,而较老版本的安卓系统(无论是原生的 aosp ,还是衍生的国内手机厂商二次开发的“原厂安卓”)中残留了大量系统漏洞,这些都方便了拼多多肆无忌惮地窃取他们的主要用户的个人信息。

而我们进一步更有理由怀疑,老版本安卓中的漏洞依然没有得到彻底修补,依然还在被其他软件厂商利用以牟利,因为我们最能容易接触到的安卓版本,即各手机厂商为它们的品牌手机定制的所谓原厂安卓(比如华为、oneplus 等手机厂商为其旗下品牌手机定制的 EUI 系统、H2os 系统)都是私有的,它们的源代码并不向用户公开,尽管它们开发所基于的原生安卓 aosp 是允许任何用户检查其源代码的自由软件,但 aosp 不是以 GPL 许可证发行的自由软件,它的整个用户态都以 BSD、Apache 等允许私有化的许可协议发行,基于 aosp 开发的安卓版本完全可以是私有的,不向用户公开源代码。

因为这些原厂安卓都是私有软件,我们作为用户无法研读它们的源代码,更无权过问它们的开发过程,也就基本谈不上对它们进行审查监督。这就导致它们背后的开发者团队即使自行发现了安全漏洞,也不会将漏洞信息披露出来半分,我们不可能知道他们何时是否发现了漏洞,发现了怎么样的漏洞,是否修补了漏洞,是否故意保留漏洞方便他们窃取用户数据。他们对软件所做的一切我们都无从知晓。我们什么时候才能知道私有软件背后的开发团队修补了软件漏洞呢?只有安全漏洞由第三方“非法窃取”向公众披露消息的时候。此时开发者团队才会出来搞搞危机公关,平复大众的愤怒情绪,顺带也羞羞答答地修补漏洞。而到了最近几年,国内的私有厂商愈发肆无忌惮,他们借着政府的力量强行关闭了国内的各大白帽黑客平台,如乌云网,没了白帽黑客来侵犯他们的公司机密,他们将能更加会肆无忌惮地使用系统漏洞侵害用户。

在互联网大厂的资本力量的推动下,各种私有软件霸占了用户生活的方方面面,还反过来阻碍用户取得自由软件,甚至还要进一步阻碍用户下载它们对家的软件,而要独占用户的设备。拼多多能做的,这些私有软件也一样能做,拼多多能利用安卓系统的固有漏洞操控用户的手机设备,甚至公然在系统中运行监视用户的服务程序,这些私有软件也同样能——由官方开发的学习强国、国家反诈中心甚至都不掩饰它们对用户个人信息的窃取,而小米公司的 MIUI 自诩内置了反诈骗功能,公开承认了它对用户的监控能向国家反诈中心靠拢。

因此,拼多多暴露的恶意软件问题不仅仅是拼多多一家的问题,是所有私有软件厂商共同的问题,它们之间对用户的恶意差别仅仅是“五十步笑百步”。

我们中的大部分人不是专业的信息安全研究人员,不知道自己的操作系统里有哪些漏洞,更不知道私有软件用了哪些针对性的手段来控制我的系统。但我们能通过更换为自由的操作系统3,并将私有软件拒之门外来强化我们自己的信息安全。那么,为什么自由软件一定会比私有软件安全呢?

正如前文分析的那样,私有软件常常是恶意软件4,是因为用户不允许查看并修改它们的源代码,不可能受到用户的审计,而私有软件的对立面,允许用户查看源代码的自由软件自然而然就会接受着所有用户的审查监督。自由软件的开发者与私有软件的开发者不同,开发者自身就是主要用户,他们不会“吃饱了撑的”写一个专门反对他自己的软件。而假如某个自由软件的开发者确实闲,确实铁了心就要专门写一段恶意代码破坏某个自由软件项目,或者试图利用这些植入在某个软件项目中的恶意代码为自己牟利,他也无法高枕无忧,因为自由软件的源代码向用户公开,其他同样是自由软件开发者的用户将很快发现恶意代码,其发现过程远比私有软件中的短。而软件社区一旦发现有人故意植入恶意代码,将会惩处植入者,公布其罪行,令其身败名裂,他编写的恶意代码本身要么会被用户抛弃,要么被其他开发者迅速修改,在剔除了恶意功能后再发布分叉版本。无意中造成的设计错误和安全漏洞也将在发现后被迅速修补。

如果某中国应用程序的开发者想证明自己不和拼多多同流合污的诚意,就请公开自己的作品的源代码,将其作为自由软件发布,以接受广大用户的监督。

参考文献:
  1. github 上 davincifans101 的分析报告
  2. 卡巴斯基对拼多多的分析报告