研究员分析了拼多多于2月25日推出的6.49.0应用版本后发现，该程序利用安卓操作系统的约50个漏洞，安插恶意软件全方位监视和窃取用户的个人信息。

（香港讯）美国媒体展开的调查显示，拥有约8.24亿用户的中国电商应用巨头拼多多，长期未经用户许可，自行绕过用户手机安全设置，监控用户在其他应用的活动，以提高销售业绩。

美国有线电视新闻网（CNN）在收到用户举报后进行了详细的调查，包括访问来自亚洲、欧洲和美国共六个网络安全团队，以及多名拼多多的现任和前任员工。

研究员分析了拼多多于2月25日推出的6.49.0应用版本后发现，该程序利用安卓操作系统的约50个漏洞，安插恶意软件全方位监视和窃取用户的个人信息。

拼多多内部员工透露，公司为了提高销售业绩，2020年成立了一个百人团队研究安卓系统的漏洞，以监视用户在其他应用的活动、查看通知、阅读私人信息和追踪用户位置等，勾勒出用户的习惯、兴趣和偏好。

一开始，拼多多只监控中国小县城和农村地区的用户，以避免暴露行动。拼多多还将潜在的恶意代码隐藏在合法的文件夹内，以逃避审查。　

为了能进一步巩固用户粘性，拼多多通过攻击安卓漏洞，未经用户授权自行提高应用权限，读取原本不能获得的系统信息和其他软件的信息，还修改系统设置，使软件难以被彻底卸载。

研究员：没证据显示拼多多将数据交中国政府

芬兰网络安全公司WithSecure的首席研究员海波宁说：“我们没看过这种会自行提高系统权限，以获得不被授权信息的主流应用。这是非常不寻常的，而且对拼多多来说相当不利。”

不过，研究人员也说，没有证据表明拼多多曾将数据转交给中国政府。

6.49.0版本2月底推出后，中国网络安全公司Dark Navy发布报告，指拼多多在应用中安插了恶意软件。3月5日，拼多多迅速发布更新版本6.50.0，并删除了相关漏洞；两天后，该公司突然解散专门挖掘漏洞的百人工程团队。

谷歌3月21日宣布在谷歌商店中下架这一应用。彭博社随后发表的一篇报道说，一家俄罗斯网络安全公司也在应用中发现了潜在的恶意软件。拼多多早前曾否认“有关拼多多应用具有恶意软件的猜测和指控”。

这一消息曝光后，预计将有更多人开始关注拼多多的国际版应用Temu。这款应用在美国下载排行榜上名列前茅，也在其他西方市场迅速扩张。

成立于2015年的拼多多是中国主流的手机购物平台，用户能通过与他人共同团购商品而获得大幅折扣。拼多多的用户人数已占中国网络人口的四分之三，市值是拍卖平台eBay的三倍。