Никогаш не сум видел вакво нешто: Една од најпопуларните апликации во Кина има можност да ги шпионира корисниците
Таа е една од најпопуларните апликации за купување во Кина, која продава облека, намирници и речиси сè друго на повеќе од 750 милиони корисници месечно.
Но, според истражувачите на сајбер безбедноста, може да ја заобиколи безбедноста на мобилните телефони на корисниците за да ги следи нивните активностите на други апликации, да ги проверува известувањата, да чита приватни пораки и да ги менува поставките.
Додека многу апликации собираат огромни количини на кориснички податоци, понекогаш без експлицитна согласност, експертите велат дека гигантот за е-трговија Пиндуодуо ги подигнал нарушувањата на приватноста и безбедноста на податоците на следното ниво.
Во детална истрага, Си-Ен-Ен разговараше со половина дузина тимови за сајбер-безбедност од Азија, Европа и Соединетите држави – како и со повеќе поранешни и сегашни вработени во Пиндуодуо – откако доби дојава.
Повеќе експерти го идентификуваа присуството на малициозен софтвер на апликацијата Pinduoduo што ги користи пропустите во оперативните системи Андроид. Упатените во компанијата велат дека експлоатирањата биле искористени за шпионирање на корисниците и конкурентите, наводно за да се зголеми продажбата.
„Не видовме мејнстрим апликација како оваа која се обидува да ги зголеми своите привилегии за да добие пристап до работи до кои тие не треба да имаат пристап“, рече Мико Хипенен, главен истражувач во WithSecure, финска компанија за сајбер безбедност.
Откритијата, исто така, веројатно ќе привлечат поголемо внимание на меѓународната сестринска апликација на Пиндуодуо, Тему, која е на врвот на американските топ листи за преземање и брзо се шири на другите западни пазари. И двете се во сопственост на PDD на листата на Nasdaq, мултинационална компанија со корени во Кина.
Иако Тему не е вмешан, наводните постапки на Пиндуодуо ризикуваат да фрлат сенка врз глобалната експанзија на нејзината сестринска апликација.
Нема докази дека Пиндуоду предал податоци на кинеската влада. Но, бидејќи Пекинг ужива значително влијание врз бизнисите под негова јурисдикција, има загриженост од американските законодавци дека секоја компанија што работи во Кина може да биде принудена да соработува со широк опсег на безбедносни активности.
Наодите следат по суспензијата на Google на Pinduoduo од Play Store во март, повикувајќи се на малициозен софтвер идентификуван во верзиите на апликацијата.
Пиндуодуо претходно ги отфрли „шпекулациите и обвинувањата дека апликацијата Пиндуодуо е злонамерна“.
Си-Ен-Ен ја контактираше ПДД повеќе пати преку е-пошта и телефон за коментар, но не доби одговор.
Пиндуодуо, кој може да се пофали со база на корисници која сочинува три четвртини од онлајн популацијата во Кина и пазарна вредност три пати поголема од онаа на eBay (EBAY), не секогаш беше џин на онлајн шопинг.
Основана во 2015 година во Шангај од Колин Хуанг, поранешен вработен во Google, се бореше да се етаблира на пазар на кој долго време доминираа Alibaba и JD.com.
Успеа со тоа што понуди големи попусти за нарачки за купување на група пријатели и семејство и фокусирање на руралните области со пониски приходи.
Pinduoduo објави троцифрен раст на месечните корисници до крајот на 2018 година, годината. Сепак, до средината на 2020 година, зголемувањето на месечните корисници се забави на околу 50% и ќе продолжи да опаѓа, според неговите извештаи за заработка.
Во 2020 година, според сегашен вработен во Pinduoduo, компанијата формираше тим од околу 100 инженери и менаџери на производи за да копаат по ранливости во телефоните со Android, да развијат начини за нивно искористување – и тоа да го претворат во профит.
Според изворот, кој побарал анонимност поради страв од репресии, компанијата првично ги таргетирала корисниците само во руралните области и помалите градови, додека ги избегнувала корисниците во мегаградовите како Пекинг и Шангај.
Со собирање обемни податоци за активностите на корисниците, компанијата можеше да создаде сеопфатен портрет на навиките, интересите и преференциите на корисниците, според изворот.
Тимот беше распуштен на почетокот на март, додаде изворот, откако на виделина се појавија прашања за нивните активности.
Истражувачите од сајбер фирмата Check Point Research со седиште во Тел Авив, стартапот за безбедност на апликации со седиште во Делавер, Overcured и Hyppönen’s WithSecure, спроведоа независна анализа на верзијата 6.49.0 на апликацијата, објавена во кинеските продавници за апликации кон крајот на февруари.
Google Play не е достапен во Кина, а корисниците на Android во земјата ги преземаат своите апликации од локалните продавници. Во март, кога Google го суспендираше Pinduoduo, рече дека пронашол малициозен софтвер во верзиите на апликацијата надвор од Play.
Истражувачите пронајдоа код дизајниран да постигне „ескалација на привилегијата“: вид на сајбер напад кој го искористува ранливиот оперативен систем за да добие повисоко ниво на пристап до податоците отколку што се претпоставуваше, според експертите.
„Нашиот тим го промени тој код и можеме да потврдиме дека се обидува да ги зголеми правата, се обидува да добие пристап до работи што нормалните апликации не би можеле да ги прават на телефоните со Android“, рече Хипенен.
Апликацијата можеше да продолжи да работи во заднина и да спречи да се деинсталира, што и овозможи да ги зголеми месечните стапки на активни корисници, рече Hyppönen. Исто така, имаше можност да ги шпионира конкурентите со следење на активноста на други апликации за купување и добивање информации од нив, додаде тој.
Check Point Research дополнително ги идентификуваше начините на кои апликацијата можеше да избегне контрола.
Апликацијата имплементирала метод што ѝ дозволувал да ги турка ажурирањата без процес на преглед на продавницата за апликации наменет за откривање на малициозни апликации, велат истражувачите.
Тие, исто така, идентификуваа во некои приклучоци намера да ги прикријат потенцијално злонамерните компоненти со тоа што ќе ги сокријат под легитимни имиња на датотеки, како што е Google.
Сергеј Тошин, основачот на Oversecured, рече дека малициозниот софтвер на Pinduoduo конкретно таргетирал различни оперативни системи базирани на Android, вклучувајќи ги и оние што ги користат Samsung, Huawei, Xiaomi и Oppo.
Тошин го опиша Pinduoduo како „најопасниот малициозен софтвер“ кој некогаш бил пронајден меѓу мејнстрим апликациите.
„Никогаш досега не сум видел вакво нешто. Тоа е супер експанзивно“, рече тој.
Тошин откри дека Pinduoduo искористил околу 50 пропусти на системот Андроид. Повеќето од експлоатирањата беа прилагодени за приспособени делови познати како код на производителот на оригинална опрема (OEM), кој има тенденција да се ревидира поретко од AOSP и затоа е повеќе склон кон ранливости, рече тој.
Pinduoduo, исто така, искористи голем број пропусти на AOSP, вклучително и онаа што беше означена од Тошин на Google во февруари 2022 година. Google ја поправи грешката овој март, рече тој.
Според Тошин вели дека експлоатирањата му овозможиле на Pinduoduo пристап до локациите, контактите, календарите, известувањата и фотоалбумите на корисниците без нивна согласност. Тие, исто така, можеа да ги променат системските поставки и да пристапат до сметките и разговорите на социјалните мрежи на корисниците, рече тој.
Од шесте тимови со кои CNN разговараше за оваа приказна, три не спроведоа целосни прегледи. Но, нивните првични прегледи покажаа дека Pinduoduo побарал голем број дозволи надвор од нормалните функции на апликацијата за купување.
Сомнежите за малициозен софтвер во апликацијата на Pinduoduo првпат беа покренати кон крајот на февруари во извештајот на кинеската компанија за сајбер безбедност наречена Dark Navy. Иако анализата директно не го именуваше трговскиот гигант, извештајот брзо се прошири меѓу другите истражувачи, кои ја именуваа компанијата. Некои од аналитичарите се надоврзаа со свои извештаи кои ги потврдуваат првичните наоди.
Набргу потоа, на 5 март, Pinduoduo издаде ново ажурирање на својата апликација, верзија 6.50.0, со што се отстранети експлоатирањата, според двајца експерти со кои разговараше CNN.
Два дена по ажурирањето, Пиндуодуо го распушти тимот инженери и менаџери на производи кои ги развија експлоатирањата, според изворот на Пиндуодуо.
Следниот ден, членовите на тимот се најдоа како заклучени од нарачаната апликација за комуникација на работното место на Pinduoduo, Knock, и изгубија пристап до датотеките на внатрешната мрежа на компанијата. Инженерите, исто така, открија дека им е отповикан пристапот до големите податоци, листовите со податоци и системот за дневници, рече изворот.
Повеќето од тимот беа префрлени на работа во Тему. Тие беа распоредени во различни одделенија во подружницата, а некои работеа на маркетинг или развивање на известувања за притисок, според изворот.
Основната група од околу 20 инженери за сајбер-безбедност кои се специјализирани за пронаоѓање и искористување на ранливости остануваат во Пиндуодуо, велат тие.
Тошин од Oversecured, кој го разгледа ажурирањето, рече дека иако експлоатите се отстранети, основниот код сè уште е таму и може да се реактивира за да изврши напади.
Pinduoduo успеа да ја зголеми својата корисничка база наспроти позадината на регулаторното ограничување на кинеската влада за Big Tech што започна кон крајот на 2020 година.
Таа година, Министерството за индустрија и информатичка технологија започна сеопфатна акција против апликациите кои незаконски собираат и користат лични податоци. Во 2021 година, Пекинг го донесе своето прво сеопфатно законодавство за приватност на податоците.
Законот за заштита на лични информации предвидува дека ниту една страна не смее незаконски да собира, обработува или пренесува лични информации. Исто така, им е забрането да ги искористуваат безбедносните пропусти поврзани со интернет или да се вклучат во активности што ја загрозуваат сајбер-безбедноста.
Очигледниот малициозен софтвер на Pinduoduo би бил прекршување на тие закони, велат експертите за технолошка политика, и требало да биде откриен од регулаторот.
„Ова би било срамно за Министерството за индустрија и информатичка технологија, бидејќи ова е нивна работа“, рече Кендра Шефер, експерт за технолошка политика во Trivium China, консултантска компанија. „Тие треба да го проверат Пиндуодуо, а фактот што не најдоа (ништо) е засрамувачки за регулаторот“.
Фото: Maxim Ilyahov on Unsplash
