Один із найпопулярніших додатків для покупок у Китаї Pinduoduo, яким користується понад 750 мільйонам людей на місяць, запідозрили в прихованому шпигунстві за своїми користувачами.
На думку експертів із кібербезпеки, він може обійти захист смартфонів користувачів, щоб відстежувати дії в інших програмах, перевіряти сповіщення, читати особисті повідомлення та змінювати налаштування. І після встановлення його важко видалити. Про це пише CNN.
Хоча багато додатків збирають величезну кількість даних користувачів, іноді без явної згоди, експерти кажуть, що гігант електронної комерції Pinduoduo вивів порушення конфіденційності та безпеки даних на новий рівень.
Кілька експертів виявили наявність у додатку Pinduoduo зловмисного програмного забезпечення, яке використовувало вразливості в операційних системах Android. Інсайдери компанії сказали CNN, що експлойти використовувалися для шпигування за користувачами та конкурентами, нібито для збільшення продажів.
"Ми не бачили, щоб подібний мейнстрімовий додаток намагався розширити свої привілеї, щоб отримати доступ до речей, до яких вони не повинні отримувати доступ. Це дуже незвичайно, і це досить небезпечно для Pinduoduo", - сказав Мікко Хюппьонен, головний науковий співробітник фінської фірми з кібербезпеки WithSecure.
Зловмисне програмне забезпечення - це будь-яке програмне забезпечення, розроблене для викрадення даних або втручання в роботу комп’ютерних систем і мобільних пристроїв.
Як пише CNN, докази наявності складного зловмисного програмного забезпечення в додатку Pinduoduo з'явилися на тлі інтенсивної перевірки китайських додатків, таких як TikTok, через занепокоєння щодо безпеки даних.
"Ці викриття також, імовірно, привернуть більше уваги до міжнародної дочірньої програми Pinduoduo, Temu, яка займає перше місце в рейтингах завантажень у США та швидко поширюється на інших західних ринках. Обидва належать багатонаціональній компанії PDD, зареєстрованій на Nasdaq, корінням якої є в Китаї. Хоча Temu не був причетний, передбачувані дії Pinduoduo ризикують кинути тінь на глобальне розширення дочірньої програми", - пише CNN.
Видання зазначає, що немає жодних доказів того, що Pinduoduo передав дані китайському урядові. Але оскільки Пекін має значні важелі впливу на підприємства під його юрисдикцією, законодавці США стурбовані тим, що будь-яка компанія, яка працює в Китаї, може бути змушена співпрацювати з широким спектром силових структур.
У березні Google призупинив розповсюдження додатка Pinduoduo у своєму Play Store через зловмисне програмне забезпечення, виявлене у версіях програми.
Раніше компанія Pinduoduo відкидала "припущення та звинувачення в тому, що додаток Pinduoduo є шкідливим".
Що передувало скандалу з Pinduoduo
Pinduoduo була заснована в 2015 році в Шанхаї Коліном Хуангом, колишнім співробітником Google. Наразі база користувачів якої становить три чверті онлайн-населення Китаю та ринкова вартість якої втричі перевищує eBay.
За словами нинішнього співробітника Pinduoduo, у 2020 році компанія створила команду з приблизно 100 інженерів і менеджерів із продуктів, щоб шукати вразливості в телефонах Android, розробляти способи їх використання - і перетворювати це на прибуток.
За словами джерела CNN, яке побажало залишитися анонімним через побоювання помсти, спочатку компанія націлювалася лише на користувачів у сільській місцевості та невеликих містах, уникаючи користувачів у таких мегаполісах, як Пекін і Шанхай. "Мета полягала в тому, щоб зменшити ризик викриття", - сказало джерело.
За словами джерел, зібравши велику кількість даних про дії користувачів, компанія змогла створити повний портрет звичок, інтересів і вподобань користувачів. Це дозволило додатку вдосконалити свою модель машинного навчання, щоб пропонувати більш персоналізовані push-повідомлення та рекламу, заохочуючи користувачів відкривати програму та робити замовлення.
Ця команда була розпущена на початку березня, додало джерело, після того, як з'явилися питання щодо їхньої діяльності.
Що встановили експерти з кібербезпеки
За зверненням CNN дослідники з Тель-Авівської кіберкомпанії Check Point Research, стартапу Oversecured із безпеки додатків із штату Делавер (США) і фінської компанії WithSecure провели незалежний аналіз версії програми 6.49.0, випущеної в китайських магазинах застосунків наприкінці лютого.
Google Play недоступний у Китаї, і користувачі Android у цій країні завантажують свої програми з місцевих магазинів. У березні, коли Google призупинила роботу Pinduoduo, вона заявила, що знайшла зловмисне програмне забезпечення у версіях застосунка поза магазином Google Play.
Дослідники знайшли код, розроблений для досягнення "підвищення привілеїв": типу кібератаки, яка використовує вразливу операційну систему для отримання більш високого рівня доступу до даних, ніж вона повинна мати.
"Наша команда переробила цей код, і ми можемо підтвердити, що він намагається розширити права, намагається отримати доступ до речей, які звичайні програми не зможуть зробити на телефонах Android", - сказав Хюппьонен.
Додаток зміг продовжувати працювати у фоновому режимі та запобігти самому видаленню, що дозволило йому підвищити місячну кількість активних користувачів, сказав Хюппьонен. Він також мав можливість шпигувати за конкурентами, відстежуючи активність в інших додатках для покупок і отримуючи інформацію від них, додав він.
Крім того, Check Point Research виявило способи, якими програма могла уникнути перевірки. За словами дослідників, у додатку застосовано метод, який дозволяє надсилати оновлення без процесу перевірки в магазині додатків, призначеного для виявлення шкідливих програм.
Експерти також виявили в деяких плагінах намір приховувати потенційно шкідливі компоненти, приховуючи їх під законними іменами файлів, наприклад Google.
"Така техніка широко використовується розробниками зловмисного програмного забезпечення, які вводять шкідливий код у програми, які мають законну функціональність", - сказали вони.
Засновник Oversecured Сергій Тошин сказав CNN, що Pinduoduo спеціально націлений на різні операційні системи на базі Android, у тому числі ті, що використовуються Samsung, Huawei, Xiaomi та Oppo.
Тошин назвав Pinduoduo "найнебезпечнішим зловмисним програмним забезпеченням", яке коли-небудь зустрічалося серед основних програм. "Я ніколи раніше не бачив нічого подібного", - сказав він.
Більшість виробників телефонів у всьому світі налаштовують основне програмне забезпечення Android, Android Open Source Project (AOSP), щоб додати унікальні функції та програми до своїх власних пристроїв.
В Oversecured виявили, що Pinduoduo використовував близько 50 уразливостей системи Android. Більшість експлойтів було розроблено спеціально для налаштованих частин, відомих як код виробника оригінального обладнання (OEM), який, як правило, перевіряється рідше, ніж AOSP, і тому більш схильний до вразливостей, сказав він.
Pinduoduo також використовував низку вразливостей AOSP, у тому числі одну, про яку Тошин повідомив Google у лютому 2022 року. За його словами, Google виправила цю помилку в березні цього року.
За словами Тошина, експлойти дозволили Pinduoduo отримати доступ до місцезнаходження, контактів, календарів, сповіщень і фотоальбомів користувачів без їхньої згоди. За його словами, вони також могли змінювати налаштування системи та отримувати доступ до облікових записів і чатів соціальних мереж користувачів.
Підозри щодо зловмисного програмного забезпечення в додатку Pinduoduo вперше були висловлені наприкінці лютого в звіті китайської фірми з кібербезпеки під назвою Dark Navy. Незважаючи на те, що в аналізі не було прямо названо торговельного гіганта, звіт швидко поширився серед інших дослідників, які все ж назвали компанію. Деякі з аналітиків доповнили свої власні звіти, підтверджуючи вихідні висновки.
Невдовзі, 5 березня, Pinduoduo випустив нове оновлення свого додатка, версія 6.50.0, яке видалило експлойти, за словами двох експертів, з якими спілкувався CNN. За словами джерела в Pinduoduo, через два дні після оновлення компанія розпустила команду інженерів і менеджерів із продуктів, які розробляли експлойти.
В Oversecured, яка ознайомилася з оновленням, сказали, що попри видалення експлойтів, основний код все ще існує і може бути повторно активований для здійснення атак.
Заборона TikTok в США - що відомо
Як повідомляв УНІАН, влада США підозрює, що уряд Китаю може використовувати один із найпопулярніших у світі додатків TikTok для контролю над даними мільйонів користувачів. Зокрема, за словами директора ФБР Крістофера Рея, алгоритми рекомендацій відео в додатку потенційно можуть бути "використані для операцій впливу". У компанії всі звинувачення відкидають.
У грудні 2022 року Сенат США підтримав заборону використання програми TikTok на всіх державних телефонах та інших пристроях. У січні цього року стало відомо, що TikTok запропонували владі США більш широкий доступ до своїх алгоритмів, щоб залишитися в країні.
Утім, інвестиційна компанія Wedbush прогнозує 90% імовірність того, що TikTok буде заборонений в США, якщо тільки він не пройде IPO (процес первинного розміщення акцій компанії на фондовому ринку, - УНІАН) або не буде викуплений технологічною компанією з мега-капіталізацією.
