美國華府智庫戰略暨國際研究中心(CSIS)在 10 月 24 日發表最新研究報告,當中指出由中國企業所擁有和營運的應用程式(APP),像是抖音(TikTok),不僅已快速擴散更對美國的監管、資安和法律架構帶來新的風險,也暴露出現有的漏洞。儘管社交媒體 TikTok 受到了大部分關注,但它只是冰山一角,聯邦政府需要更廣泛的關注和行動。
CSIS 針對快時尚電商平台 Temu 的商業行為(包括銷售由非法勞動所生產的商品、APP 本身的資料安全(和存取)以及該公司與中國共產黨的關聯)提出重大疑慮,同時也呼籲要對 Temu 進行更多的關注及審查。
2024 年 4 月 24 日,美國總統拜登簽署了一項法律,迫使外界普遍認為由中國共產黨控制的字節跳動公司脫離 TikTok,否則該 APP 將禁止在美國營運。過去幾年,對美國社會傳播的虛假訊息,引發了人們對惡意行為者如何影響社會輿論以達到邪惡目的的擔憂。
這項法律針對的是 TikTok,但未能解決其他 APP 所帶來更廣泛的問題。政策制定者必須關注的是整體問題,而不僅僅是某家特定公司。TikTok 雖然對社會構成嚴重威脅,但更大、弊需要解決的是中共對新興 APP 經濟的影響與控制。因此,需要採取緊急且全面的政策來保護美國公民和盟友。
Temu目的在個資不在賺錢
中國跨境電子商務網站 Temu 主打「像億萬富翁那樣血拼」和「快時尚」的誘惑,用低廉的價格、交貨迅速等特點,掩蓋了嚴重的潛在安全風險和漏洞。Temu 實際上是一個偽裝成電子商務網站的資訊蒐集間諜軟體程式。
Temu APP 旨在透過將商業遊戲化和美化來吸引客戶並讓他們持續購物,並為更長時間的使用和更頻繁的購買行為提供獎勵。在 Temu 平台上的商品是由超過 8 萬家不同的供應商所組成的網路從工廠採購,省去零售商和店面成本,因此可以為客戶提供其他業者難以競爭的低價。然而,在這些漂亮的價格背後所掩蓋的是不可靠的採購、強迫勞動、劣質商品和無數的詐騙。
Temu APP 從最基礎的層面就編碼為「數位版本的蜱蟲或其他種寄生蟲」,非常難以去除。用戶的手機和裝置都成為該 APP 的宿主,而用戶裝置上的所有資料就成為 Temu 竊取的養分。儘管用戶資料是任何電子商務或網路平台的養分,Temu 異常高的存取權限意味著它可以監控所有用戶的活動,同時還可以更改設定並使其幾乎無法刪除 —— 刪除 APP 並不是 Temu 的結束。
考量到 Temu 與參與資料監控和大外宣的中共部門之間所存在的關係,並且根據中國「國家情報法」,這樣的中國企業值得比當前更多的審查。Temu APP 可以存取用戶設備,是一種異常強大的祕密監視工具,並可能成為分散式阻斷服務攻擊(DDoS)的工具。
中國現行《中華人民共和國國家情報法》第七條
任何組織和公民都應當依法支持、協助和配合國家情報工作…」。在這法律規定下,「中國的任何組織和公民為國家擔任間諜已成為義務與責任」。
中國現行《中華人民共和國國家情報法》第十四條
國家情報工作機構可以要求有關機關、組織和公民提供必要的支持、協助和配合。
阻斷服務攻擊(DoS 攻擊)
是一種網路攻擊手法,其目的在於使目標電腦的網路或系統資源耗盡,使服務暫時中斷或停止,導致正常使用者無法訪問,攻擊來源單一。分散式阻斷服務(DDoS)攻擊則是使用多部電腦或機器進行 DoS 攻擊,藉此試圖癱瘓目標。
市場情報公司 Grizzly Research 提出警告,Temu 是大眾傳播中最危險的應用程式,該 APP 含有最具攻擊性的惡意軟體/間諜軟體的所有特徵。該公司還發現,該 APP 還有隱藏功能,允許在用戶不知情的狀況下進行大規模的數據蒐集並洩漏,可能讓有心人士駭入用戶的手機裝置裡竊取所有數據資料。
Temu APP 的侵入性是極端的「監控式資本主義」(surveillance capitalism),憑借其高度存取權限,它可以紀錄 APP 中發生的用戶行為、監控用戶的電子郵件和對話訊息、啟動麥克風和鏡頭、並透過 GPS 和 WIFI 連接紀錄用戶活動。這些數據點可說是全世界情報組織的夢想 —— 用戶自願將該 APP 下載到手機上,這對中國國家安全部來說,就不用他們還要針對目標進行駭客攻擊或網路釣魚的必要了。
圖/Sam Ward
Temu的背景
Temu 是中國電商平台「拼多多」在西方的「分靈體」,拼多多專注於中國市場(據報導在中國每月平均有 7.9 億用戶),他們共同的母公司是拼多多控股。拼多多控股(PDD Holdings Inc.)2022 年在美上市,並於次年拓展其商業版圖到歐洲市場。
Temu 與其說是一家商店,不如說是一個促進西方消費者和中國工廠之間貿易的掮客。
在 Temu 迅速獲得爆炸性的業績成長之後,中國近日宣佈將在中國鄭州與美國亞特蘭大及達拉斯之間開設新的貨運航線,航線主要運送跨境電商貨物。根據中國媒體報導,這條新航線開通後,再加上既有的鄭州至芝加哥、墨西哥城全貨運航線,鄭州機場至北美方向的國際貨運航班量達每週 16 班次。
從今年起,中國鄭州機場加速提升鄭州國際航空貨運樞紐能量,持續拓展通達全球的航空物流網路,新開、加密鄭州至法蘭克福、芝加哥、墨西哥城等貨運航線 10 餘條,企圖創造「空中絲綢之路」。截至 5 月 10 日,鄭州機場今年累計完成貨運量 22.8 萬噸,比同期增長 18.6%。
▆ 拼多多的「零日攻擊」
CSIS 發現,Temu 故意利用美國海關和進口法規的漏洞,確保其貨物在進入美國時受到最低程度的審查。此外,Temu 沒有確保遵守《防止維吾爾人強迫勞動法》(UFLPA)的機制。然而,規避美國進口法規只是風險的冰山一角。Temu 及其姊妹應用程式拼多多,表面上都是電子商務 APP,但實際上是惡意軟體和資料蒐集平台。
2023 年安全研究服務機構「DarkNavy」發布《「 深藍洞察 」2022 年度最「不可赦」漏洞》一文,稱拼多多透過 Android 的 OEM 廠商系統中的「零日漏洞」取得對用戶來說受保護資源的進階存取權限,然後進行各類違規違法的操作,包括竊取用戶隱私數據、攻擊競爭對手 APP 等。之後,Google 公司表示,由於發現拼多多的多個版本中存在惡意軟體問題,將拼多多 APP 從 Google play 下架,理由是,其存取權限遠遠超出了其功能所需的範圍;安全機構 Lookout 分析了拼多多的程式碼,證實了深藍洞察發布的報告。
美國 CNN 新聞網對拼多多進行調查後發現,該 APP 利用安卓系統的 50 多個漏洞安插惡意軟體來竊取用戶個資,未經用戶授權自行提高用戶權限,並阻止用戶卸載程式。報導還稱,拼多多內部人員透露,公司於 2020 年成立百人小組專門研究安卓的漏洞。藍點網路曾表示,拼多多於 2023 年 3 月 7 日解散了這個漏洞挖掘團隊,但仍保留 20 名核心成員繼續挖掘和利用漏洞。
在 Temu 眾多風險當中最值得關注的還有,Temu 透過母公司與一家與中共及中央委員會有直接關係的公司有業務往來。根據澳洲智庫「戰略政策研究所」(ASPI)稱,一家名為「People’s Data」公司直接參與了中國共產黨控制媒體和個資數據,並與中共中央的大外宣工作有關聯。
龐大的資料收集量、中國 APP 中植入惡意軟體的潛在功能,以及與中共的關聯,使得 Temu 跟 TikTok 一樣,都對公民隱私和國家安全構成明顯且立即的威脅。與 TikTok 一樣,Temu 代表了與中國戰略競爭的另一個戰線,應該同樣認真對待。
戰略競爭與中國APP生態系
美國社會和國會透過中國社交媒體抖音 TikTok 的廣泛擴散認識到 APP 可能帶來的風險。到 2021 年為止,抖音的活躍用戶已經達到 10 億,廣告收入更超過 40 億美元。到 2023 年 3 月,抖音在美國的用戶已經超過 1.5 億。針對抖音所帶來的資安風險集中在三個層面:中共透過平台所散布發揮的影響力、蒐集用戶資訊,以及針對用戶設備植入惡意程式。
2024 年 4 月 24 日拜登簽署了「TikTok 剝離法」,要求總部設立於中國的 ByteDance(字節跳動)在 270 天內出售 TikTok,否則將在美國遭到全面禁用。這也顯示出外界對中國在背後控制的 APP 所產生的疑慮是日益增長的。
大家逐漸了解,像 TikTok 和 Temu 等迅速且廣泛的滲透佔領社群和市場生態的目的和西方同業不同,這些商業平台不是為了業務成長而擴張,而是為了中國與美國的戰略競爭。
一開始人們很容易將這種擔憂視為(意識形態)偏執,但實際上,這些 APP 很少受到監管機構或客戶的審查,一開始人們很容易將這種擔憂視為(意識形態)偏執,但實際上,這些包含需要對用戶設備高層級許可的 APP 很少受到監管機構或客戶的審查,也規避美國和歐盟法律,為中共提供直接存取權限及數億用戶的個資。中共可以藉此建立個人和群體習慣的可靠模型及態樣 —— 對於資訊操作及其他相關方面極有價值。
(圖/路透社/中央社)
Temu 因其商品價格低廉、從工廠直接出貨的快速物流和積極行銷在美國市場有了爆炸性的成長,對許多美國消費者來說,低價的誘惑實在難以拒絕。然而,Temu 的成功商業模式卻是建立在中國強迫勞動和規避美國監管及法律框架的基礎上。根據 2023 年美中經濟與安全審查委員會的一份文件,「Temu 與知名品牌缺乏關聯,引發了對產品品質的擔憂以及侵犯版權的指控」。
美國國會特別委員會關於中國共產黨的報告指出,Temu 規避《防止維吾爾人強迫勞動法》(UFLPA)和其他強迫勞動禁令的責任,同時仰賴數以萬計的中國供應商直接向美國消費者運送貨物。Temu 承認,沒有明確禁止第三方賣家銷售原產於中國新疆的產品。
Temu 也利用「微量原則」(De minimis Rule),即 1930 年《關稅法》第 321 條,讓大量價格低於 800 美元門檻的小包裹,在免於美國海關和邊境保護局(CBP)的審查,進口到美國。相較之下,零售商 Gap 在 2022 年繳納了 7 億美元的進口關稅。這不僅意味著非法貨物進入美國的可能性更大,這也讓 Temu 商品保有更優勢的競爭力,這也直接影響美國邊境關稅稅收。
今年 3 月,美國聯邦眾議院「中國問題特別委員會」主席、共和黨籍眾議員蓋拉格(Mike Gallagher)就曾表示,目前至少有 94% 的進口交易是透過「過度使用與濫用」小額豁免機制進入美國。
歐盟調查中:若違反歐盟《數位服務法》將重罰
Temu 在歐洲市場平均每月活躍用戶約為 9,200 萬,是 25 個必須遵守歐盟《數位服務法》(Digital Services Act, DSA)的「超大型網路平台」(VLOPs)之一。歐盟《數位服務法》於 2023 年 8 月生效之後,規範「超大型網路平台」(VLOPs)和「超大型網路搜尋引擎」(VLOSEs)必須保護用戶免受虛假訊息和仇恨言論等內容傷害。不遵守法律的公司可能在歐洲面臨全面禁令,或高達其全球年營業額 6% 的罰款。
Temu 先前已多次遭歐洲相關團體指出違反歐盟法令,歐盟數位監管機構歐盟執委會從本月初開始調查 Temu,調查小組將針對 Temu 平台的「限制銷售」模式進行了解,調查該平台如何避免非法產品在遭到移除後,這些商品「再次出現」在其他賣場中,例如藥品、化學原料、玩具及仿冒商品。此外,Temu 還必須解釋他們有哪些措施來解決其服務帶來的風險,包括類似遊戲的獎勵方案。如果該公司在調查期間提出歐盟認為可減輕其風險擔憂的承諾,則可能可以避免罰款。
推動這個法案的歐盟內部市場業務執委布勒東(Thierry Breton)曾表示:「歐洲現在是世界上第一個讓網路平台不再受益於『免費通行證』且製定自己遊戲規則的司法管轄區,它們(網路平台)現在與金融機構一樣是必須接受監管的實體。」
歐盟及其成員國相關機構今年針對 399 家網路商店進行的調查發現,有 40% 的網店存在「利用消費者弱點或欺騙消費者的操縱行為」。有 42 個網站使用虛假的倒計時器和虛假的購買截止日期,其中 70 個網站隱藏重要資訊,例如寄送費用或是否有更便宜的選擇等。根據新的《數位服務法》,這些手法都該被禁止。
引用來源:
2024/10/24 CSIS Looking Beyond TikTok: The Risks of Temu
2024/11/01 Fortune Chinese shopping platform Temu hit by EU investigation over illegal products and a ‘potentially addictive design’
