拼多多，正在偷窥我们的隐私？

　　互联网时代，我们真的还有隐私吗？
　　01
　　拼多多攻击用户手机
　　我这辈子走过最长的路，是拼多多的套路。
　　谁也说不准，在拼多多免费拿下一件商品，需要朋友砍多少刀。
　　之前有个游戏主播超级小桀直播邀请观众一起砍拼多多，砍两小时，砍到小数点后六位，六万人在线没砍下一台手机。
　　随后该主播致电拼多多人工客服，但该客服直接挂断了主播电话。
　　六万人能砍下一座城，却砍不下来拼多多一个手机。
　　不过最可怕的还不是砍一刀，而是你帮他砍一刀，它把你看精光。
　　前几天，网上就曝出了拼多多利用系统漏洞攻击用户手机的情况。最初是南方日报报道出来的：
　　国内知名独立数据安全研究服务机构深蓝DarkNavy日前发布一则报告称，有知名互联网厂商通过挖掘安卓厂商OEM代码中的反序列化漏洞攻击用户手机。
　　拼多多安装好那一刻就监控了你的手机，在获取系统权限之后，主要做了下面几件事（正常 App 无法或者很难做到的事情）：
　　1.自启动、关联启动相关的修改，偷偷打开或者默认打开：与手机厂商斗智斗勇
　　2.开启通知权限
　　3.监听通知内容
　　4.获取用户的使用手机的信息，包括安装的 App、使用时长、用户 ID、用户名、社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息等等、
　　5.修改系统设置
　　6.整一些系统权限的工具方便自己使用.....
　　简单来说：看看自己的用户在淘宝、京东这些竞争对手那里的数据情况，给自己＂保活＂，顺手防止自己被卸载。
　　具体的实现路径是拼多多使用了某黑客技术手段，利用安卓手机厂商 OEM 代码中的反序列化漏洞，进行攻击。
　　这种黑客手段能够绕过我们手机的系统校验，获取系统级 StartAnyWhere 能力获得提权，进而就可以控制整个手机系统。
　　最后绕过隐私合规监管，收集用户的隐私信息。
　　02
　　窃取用户数据的惯犯
　　拼多多虽然一个劲在偷窥用户数据，但对于自己的数据安全人家还是很重视的。
　　此前他们就曾以＂数据安全＂为由，开除了一名带电脑回家办公的员工，被法院认定违法辞退，判赔17万余元。
　　可见在保护自己数据安全方面的工作还是很重视的。但在保护用户数据方面，不知是有意还是故意，总是漏洞百出。
　　上一分钟注册的信息，下一分钟的营销短信到手机上了，好歹给点儿反应时间啊。
　　哪怕你用的是台老年机除了接听电话什么也干不了，却能收到拼多多的快递链接。
　　之前在网络平台，也爆出了疑似拼夕夕窃取用户微信数据的情况。
　　图一是当事人头一天晚上讨论的粘牙糖。
　　图二是当事人在当天晚上打开拼多多看到的粘牙糖。
　　说实话我有点害怕了 如果这是真的，如果聊天记录也能被窃取监视，那么我们的微信密码有何用？
　　你好好做个购物软件，不停地收集用户手机、微信信息、地址信息、浏览信息，作为用户，真的害怕啊！
　　其实拼多多在数据安全方面做过的恶，还远不止如此。
　　2021年的时候就有过这样一个事件：一男子在使用拼多多软件时，参与了软件中＂邀请1人，直接提现100元＂的活动。
　　活动完成之后平台并没有给其100元钱，而是给其30元。
　　他向拼多多后台客服投诉，客服称此活动完成后所给的金额是随机金额，而男子随即把活动的标题与图片发给拼多多的客服，并质疑其虚假宣传。
　　之后令人费解的事情发生了，在与拼多多客服争论之时，他发现自己手机相册里的证据照片没了。
　　其手机状态栏提示：＂检测到拼多多已删除你的相册里的照片或者视频＂ 。后在相册回收站里找到了被删除的相片。
　　是的，拼多多就是这么霸道，能够直接进手机删除你的照片。
　　还有拼多多会在用户手机上把自己的图标替换成了widget（桌面小部件），这么做的目的大概率也就是为了逃避卸载。
　　当用户把桌面小部件删除之后，app还是安装在你的系统中，还是可以给你推送消息，并且点击消息可以进入到拼多多app。
　　如果一家企业，用这种非常规甚至带有＂流氓＂性质的手段，来捆绑裹挟消费者，费尽心思留住消费者，那么说明这家企业已经心虚了，只会适得其反、徒增厌恶。
　　03
　　万物互联时代，数据安全太难了
　　中国用户隐私不值钱是出了名的：
　　奔驰、大众质量召回门，全球免费召回，除了中国地区;
　　苹果＂降速门＂,全球用户获赔5亿美金，除了中国地区......
　　我们对于消费者权益的保护，对于个人隐私的数据，实在太薄弱了，重视程度远远不够。
　　利用如此环境，各大互联网APP真的是八仙过海，各显其能......
　　APP越来越庞大，占用的资源越来越多，要各种权限，最好能给的权限全部都给了，尽量榨干净任何信息的价值。
　　他们榨取信息干什么用呢？能搞出创新？
　　互联网行业，尤其是电商领域，在拉客、揽客、搞促销、搞竞争方面从来不留余力。
　　1月有元旦节、年货节；
　　2月有情人节大促、开学季；
　　3月有吃货节、女王节、女神节；
　　4月有粉丝节、超级品牌日；
　　5月有520大促、闺蜜节；
　　6月有端午节、618年中大促；
　　7月有狂暑季、购物节；
　　8月有七夕、88大促、开学季；
　　9月有中秋、划算节；
　　10月有国庆、双十品牌团；
　　11月有双十一、感恩节；
　　12月有双十二、双旦礼遇季等等。
　　所以他们拿到这些数据无非一个目的：各种花式推广告，广告无处不在，见缝插针；然后研究客户画像，你喜欢什么就给你推送什么。
　　当然了，也为了自身考核的原因，因为现在的大厂就是各种KPI，日活，留存，转化····
　　考核什么就弄什么。
　　毕竟互联网经济发展如此之快就靠三个东西：如何低成本快速获取流量，如何把流量变现，如何实现快速迭代。
　　数据便是他们流量获取、流量变现以及产品迭代的底层支撑。
　　所以这一块领域一定是数据泄露和平台偷窥客户隐私的重灾区。
　　2020年5月，工信部公布首批《关于侵害用户权益行为的APP通报》。
　　其中，许多头部app赫然其中。
　　腾讯QQ、QQ阅读、小米金融、人人视频......
　　主要涉及的＂私自收集个人信息＂、＂私自共享给第三方＂、＂强制用户使用定向推送功能＂、＂超范围收集个人信息＂、＂过度索取权限＂、＂不给权限不让用＂......
　　过分一点的话，连家里有几个人，都是什么职业，住址是哪儿，家里养了几条狗以及狗分别叫什么名字都知道。
　　因此，我们必须坚决抵制随意收集个人隐私、滥用个人隐私数据的违法行为。
　　首先在顶层设计层面要有足够的重视 ——
　　《反垄断法》、《中华人民共和国网络安全法》、《数据安全法》、《个人信息保护法》真的该用起来了。
　　就像工信部公布的侵害用户权益行为APP的通报，就是开了个很好的头，但仅仅依靠于此还不够，还要有足够强力的行政手段、司法手段来配合，该罚的罚，该抓的抓。
　　其次，要培养一批实力足够强的数据安全公司，用市场主体去对付市场行为。 比如启明星辰最新的数据安全治理管控平台，组成防控一体的数据安全整体解决方案。目前，已经广泛布置于政府、公安、医疗等领域。
　　随着互联网迈入产业互联的下半场，不仅是用户隐私安全需要保障，更需要构建一个关系到更大范围的大数据安全网络。
　　至少保护我们最后一方个人隐私数据的净土。