Одно из самых популярных приложений для покупок в Китае Pinduoduo, которым пользуются более 750 миллионов человек в месяц, подозревалось в скрытом шпионаже за своими пользователями.
По мнению экспертов по кибербезопасности, оно может обойти защиту смартфонов пользователей, чтобы отслеживать действия в других приложениях, проверять уведомления, читать личные сообщения и изменять настройки. И после установки его трудно удалить. Об этом пишет CNN.
Хотя многие приложения собирают огромное количество пользовательских данных, иногда без явного согласия, эксперты говорят, что гигант электронной коммерции Pinduoduo вывел нарушения конфиденциальности и безопасности данных на новый уровень.
Несколько экспертов обнаружили наличие вредоносного ПО в приложении Pinduoduo, которое использовало уязвимости в операционных системах Android. Инсайдеры компании сказали CNN, что эксплойты использовались для слежки за пользователями и конкурентами, якобы для увеличения продаж.
"Мы не видели, чтобы подобное мейнстримное приложение пыталось расширить свои привилегии, чтобы получить доступ к вещам, к которым они не должны получать доступ. Это очень необычно, и это довольно опасно для Pinduoduo", - сказал Микко Хюппенен, главный научный сотрудник финской фирмы по кибербезопасности WithSecure.
Вредоносное ПО - это любое программное обеспечение, разработанное для кражи данных или вмешательства в работу компьютерных систем и мобильных устройств.
Как пишет CNN, доказательства наличия сложного вредоносного ПО в приложении Pinduoduo появились на фоне интенсивной проверки китайских приложений, таких как TikTok, из-за опасений по поводу безопасности данных.
"Эти разоблачения также, вероятно, привлекут больше внимания к международной дочерней программе Pinduoduo, Temu, которая занимает первое место в рейтингах загрузок в США и быстро распространяется на других западных рынках. Оба принадлежат многонациональной компании PDD, зарегистрированной на Nasdaq, уходящей корнями в Китай. Хотя Temu не был вовлечен, предполагаемые действия Pinduoduo рискуют бросить тень на глобальное расширение дочерней программы", - пишет CNN.
Издание отмечает, что нет никаких доказательств того, что Pinduoduo передал данные китайскому правительству. Но поскольку Пекин имеет значительные рычаги влияния на предприятия под его юрисдикцией, законодатели США обеспокоены тем, что любая компания, работающая в Китае, может быть вынуждена сотрудничать с широким спектром силовых структур.
В марте Google приостановил распространение приложения Pinduoduo в своем Play Store из-за вредоносного ПО, обнаруженного в версиях приложения.
Ранее Pinduoduo отвергал "предположения и обвинения в том, что приложение Pinduoduo вредно".
Что предшествовало скандалу с Pinduoduo
Pinduoduo была основана в 2015 году в Шанхае Колином Хуангом, бывшим сотрудником Google. В настоящее время пользовательская база составляет три четверти онлайн-населения Китая и рыночная стоимость которой в три раза превышает eBay.
По словам нынешнего сотрудника Pinduoduo, в 2020 году компания создала команду из примерно 100 инженеров и менеджеров по продуктам, чтобы искать уязвимости в телефонах Android, разрабатывать способы их использования и превращать это в прибыль.
По словам источника CNN, который хотел остаться анонимным из-за опасений мести, изначально компания нацеливалась только на пользователей в сельской местности и небольших городах, избегая пользователей в таких мегаполисах, как Пекин и Шанхай. "Цель состояла в том, чтобы снизить риск разоблачения", - сказал источник.
По словам источников, собрав большое количество данных о действиях пользователей, компания смогла создать полный портрет привычек, интересов и предпочтений пользователей. Это позволило приложению улучшить свою модель машинного обучения, чтобы предлагать более персонализированные push-уведомления и рекламу, побуждая пользователей открывать приложение и размещать заказы.
Эта команда была распущена в начале марта, добавил источник, после того, как появились вопросы об их деятельности.
Что установили эксперты по кибербезопасности
По обращению CNN исследователи из Тель-Авивской киберкомпании Check Point Research, стартапа Oversecured по безопасности приложений из штата Делавэр (США) и финской компании WithSecure провели независимый анализ версии программы 6.49.0, выпущенной в китайских магазинах приложений в конце февраля.
Google Play недоступен в Китае, и пользователи Android в этой стране загружают свои приложения из местных магазинов. В марте, когда Google приостановил работу Pinduoduo, она заявила, что нашла вредоносное ПО в версиях приложения за пределами магазина Google Play.
Исследователи обнаружили код, разработанный для достижения "повышения привилегий": типа кибератаки, которая использует уязвимую операционную систему для получения более высокого уровня доступа к данным, чем она должна иметь.
"Наша команда переработала этот код, и мы можем подтвердить, что он пытается расширить права, пытается получить доступ к вещам, которые обычные приложения не смогут сделать на телефонах Android", - сказал Хюппенен.
По словам Хюппенена, приложение смогло продолжать работать в фоновом режиме и предотвратить само удаление, что позволило ему увеличить ежемесячное количество активных пользователей. Он также имел возможность шпионить за конкурентами, отслеживая активность в других приложениях для покупок и получая информацию от них, добавил он.
Кроме того, Check Point Research обнаружила способы, которыми программа могла избежать проверки. По словам исследователей, приложение использует метод, который позволяет отправлять обновления без процесса проверки в магазине приложений, предназначенного для обнаружения вредоносных программ.
Эксперты также обнаружили в некоторых плагинах намерение скрыть потенциально вредоносные компоненты, скрывая их под законными именами файлов, такими как Google.
"Этот метод широко используется разработчиками вредоносных программ, которые вводят вредоносный код в программы, которые имеют законную функциональность", - сказали они.
Основатель Oversecured Сергей Тошин сказал CNN, что Pinduoduo специально нацелен на различные операционные системы на базе Android, в том числе те, которые используются Samsung, Huawei, Xiaomi и Oppo.
Тошин назвал Pinduoduo "самым опасным вредоносным ПО", когда-либо встречавшимся среди основных приложений. "Я никогда раньше не видел ничего подобного", - сказал он.
Большинство производителей телефонов во всем мире настраивают базовое программное обеспечение Android, Android Open Source Project (AOSP), для добавления уникальных функций и приложений на свои собственные устройства.
В Oversecured обнаружили, что Pinduoduo использовал около 50 уязвимостей системы Android. По его словам, большинство эксплойтов были разработаны специально для настроенных частей, известных как код производителя оригинального оборудования (OEM), который обычно проверяется реже, чем AOSP, и поэтому более подвержен уязвимостям.
Pinduoduo также использовал ряд уязвимостей AOSP, в том числе одну, о которой Тошин сообщил Google в феврале 2022 года. По его словам, Google исправила эту ошибку в марте этого года.
По словам Тошина, эксплойты позволили Pinduoduo получить доступ к местоположению, контактам, календарям, уведомлениям и фотоальбомам пользователей без их согласия. По его словам, они также могли изменять настройки системы и получать доступ к учетным записям и чатам пользователей в социальных сетях.
Подозрения в отношении вредоносных программ в приложении Pinduoduo были впервые высказаны в конце февраля в отчете китайской фирмы по кибербезопасности под названием Dark Navy. Хотя в анализе не было прямого названия торгового гиганта, отчет быстро распространился среди других исследователей, которые, тем не менее, назвали компанию. Некоторые из аналитиков дополнили свои собственные отчеты, подтверждая исходные выводы.
Вскоре после этого, 5 марта, Pinduoduo выпустила новое обновление своего приложения, версия 6.50.0, которое удалило эксплойты, по словам двух экспертов, с которыми разговаривал CNN. По словам источника в Pinduoduo, через два дня после обновления компания распустила команду инженеров и менеджеров по продуктам, которые разрабатывали эксплойты.
В Oversecured, которая ознакомилась с обновлением, сказали, что несмотря на удаление эксплойтов, основной код все еще существует и может быть повторно активирован для осуществления атак.
Запрет TikTok в США - что известно
Как сообщал УНИАН, власти США подозревают, что правительство Китая может использовать одно из самых популярных в мире приложений TikTok для контроля над данными миллионов пользователей. В частности, по словам директора ФБР Кристофера Рэя, алгоритмы рекомендаций видео в приложении потенциально могут быть "использованы для операций воздействия". В компании все обвинения отвергают.
В декабре 2022 года Сенат США поддержал запрет на использование приложения TikTok на всех государственных телефонах и других устройствах. В январе этого года стало известно, что TikTok предложили властям США более широкий доступ к своим алгоритмам, чтобы остаться в стране.
Впрочем, инвестиционная компания Wedbush прогнозирует 90% вероятность того, что TikTok будет запрещен в США, если только он не пройдет IPO (процесс первичного размещения акций компании на фондовом рынке, - УНИАН) или не будет выкуплен технологической компанией с мега-капитализацией.
