據媒體報導，中國手機購物應用程式(App)拼多多(Pinduoduo)在三個國家網路安全機構進行超然分析之下，被查出有惡意軟體，能達成「特權升級」，取得凌駕其他App的權利，有管道接觸正常App在安卓系統(Android)作業手機無法取用的資訊，還能躲在後台繼續運作，防止自己被移除；就連中國網管單位想執法，都敗給拼多多。

有線電視新聞網(CNN)2日報導，在其安排下，以色列、美國德拉瓦州以及芬蘭三家網安機構，對拼多多程式6.49.0進行獨立分析；那個版本的拼多多2月下旬在中國的App商店發行。

三機構研究員發現拼多多程式碼旨在達成特權升級，這類型的網路攻擊可利用脆弱的作業系統，讓自己階級更高，可取用照理無權接觸的數據；芬蘭網安研究員海朋年(Mikko Hyppönen)表示，團隊用逆向工程處理那些程式碼，可以證實拼多多程式的惡意。

海朋年指出，拼多多有辦法躲在後台繼續運作，避免自己被解除，容許公司提升每月活躍用戶比率；還能追蹤其他購物App上的活動，從中取得資訊。

拼多多設法讓自己不經過程式商店的審核流程而進行升級，故安卓作業系統查不出它的惡意軟體；另外還把一些內鍵惡意內容，放在名正言順的檔案名下，例如谷歌的，以掩蓋可能是惡意的組件。

中國智慧手機用戶有四分之三使用安卓系統手機，蘋果手機的市占率為25%。

德拉瓦州Oversecured網安機構創辦人托辛(Sergey Toshin)指出，拼多多的惡意軟體特別鎖定不同以安卓為本的作業系統，例如三星、華為、小米及歐寶；在主流App裡，拼多多是迄今發現的「最危險惡意軟體」，他從未見過這種軟體，超能擴張。

托辛指出，拼多多能取得用戶所在位址、接洽對象、行事曆、簡訊通知及相簿，並未取得用戶同意，還能改變系統設定，取得用戶的社交網路帳號、聊天內容。

拼多多遭懷疑是惡意軟體一事，最早由中國網安機構「深藍洞察」(Dark Navy)在2月下旬的報告揭露。雖說該篇分析並未點名那家購物平台巨擘，但報告很快傳遍其他網安研究員，而揭露拼多多。

兩名專家向CNN表示，拼多多很快就在3月5日發行自己App的升級版6.50.0，拿掉侵犯個資的內容，並解散相關研發團隊。

備註:經濟部駐外單位為利業者即時掌握商情，廣泛蒐集相關資訊供業者參考。國際貿易局無從查證所有訊息均屬完整、正確，讀者如需運用，應自行確認資訊之正確性。