Temu vám hackne telefon, varovala zpráva. Čínské tržiště to odmítá

Článek si také můžete poslechnout v audioverzi.

Rychle rostoucí čínské tržiště Temu prodávající velmi levné zboží z Asie budí velkou pozornost – především v USA, kde se stalo fenoménem sociálních sítí. Avšak podobně jako čínská sociální síť TikTok či populární platforma pro nákupy Shein se z Temu stalo velké téma v bezpečnostní komunitě i v byznysových kruzích.

Není divu. V roce 2023 měly čtyři nejstahovanější aplikace do mobilních telefonů v USA čínské vlastníky a vévodil jim marketplace Temu, který ještě před dvěma lety nikdo neznal. To se rychle změnilo díky masivní inzertní kampani, která vyvrcholila spoty při finále amerického fotbalu Superbowl.

Jen pro doplnění: další v pořadí nejstahovanějších aplikací v USA byla sociální síť TikTok, software na editaci videí CapCut (má stejné ho vlastníka jako TikTok, společnost ByteDance) a tržiště Shein.

Čínské technologické firmy mají ohromnou ekonomickou sílu a to přirozeně vadí domácím americkým firmám, které si hlídají své teritorium. Jako riziko vnímají čínskou „invazi“ i některé tradiční retailové firmy. Podle studie analytické firmy Earnest Analytics si za dva roky od vstupu do USA ukouslo Temu 17% podíl na trhu diskontních řetězců. Pod tlakem je třeba velký řetězec se zbožím „za pár babek“ Dollar General a Temu už nechalo za svými zády diskont Five Bellow (podíl 8 %).

Čínské tržiště, které už od loňska působí také v Česku, experti ostře sledují i kvůli pochybnostem, které se rojí kolem kvality služeb, etických postupů při výrobě zboží a kyberbezpečnosti.

Český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) letos v únoru oznámil, že prověřuje e-shop Temu.cz i jeho mobilní aplikaci. Stejný úřad už loni varoval před užíváním čínských aplikací TikTok a WeChat.

„Obava z možných bezpečnostních hrozeb vyplývá především z množství shromažďovaných dat o uživatelích a způsobu, jakým jsou sbírána, nakládání s nimi a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky,“ uvedl úřad k TikToku.

Jeho aplikace jsou nicméně stále dostupné ke stažení na iPhonech i v systému Android. K Temu teprve úřad zpracovává analýzu a nelze předjímat její výsledek.

V polovině března americká Sněmovna reprezentantů přijala návrh, který by umožnil zákaz sociální sítě TikTok. Třebaže není jasné, zda k radikálnímu kroku dojde a Číňané budou donuceni se služby zbavit, tento návrh by americké vládě umožnil zakazovat i jiné digitální služby „ovládané zahraničními soupeři“.

Jak napovídají některá hodnocení, takovými kandidáty mohou být on-line platformy Temu a Shein. Zpráva bezpečnostní komise pro americko-čínskou hospodářskou spolupráci USCC, která dává legislativní doporučení Kongresu, zmiňuje některá rizika, díky nimž si tato tržiště vysloužila pozornost.

„Shein a podobné společnosti představují řadu výzev pro zájmy USA, včetně potíží s monitorováním zdrojů dodávek a překážek při zajišťování férových tržních podmínek ve vztahu k americké konkurenci,“ tvrdí zpráva.

Odvolává se například na zjištění zpravodajství Bloomberg News, která na základě testů odhalila, že oblečení prodávané na Shein pochází z bavlny z provincie Sin-Ťiang, což je v přímém rozporu se zákonem o prevenci nucené práce Ujgurů. Pro to, aby se bavlna z této oblasti mohla vyvážet, by musel Shein dokázat, že není produktem nucené práce etnické menšiny, což se nestalo. Čína se ujgurskou menšinu, která usiluje o autonomii, snaží převychovat zavíráním do internačních táborů, diktuje jim vzhled i zakazuje jazyk.

Na pranýři se ocitla i mateřská společnost Temu PDD Holdings a její nákupní aplikace Pinduoduo. Neziskové organizace China Labor Watch firmu obvinila z extrémního tlaku na zaměstnance, aby pracovali 380 hodin měsíčně.

Temu popírá, že by nízké ceny zboží dosáhlo díky vykořisťovatelským praktikám. Odvolává se na kodex, který zakazuje třetím stranám jakoukoliv formu nucené či dětské práce a vyžaduje dodržování pracovněprávních předpisů, které se týkají mezd i pracovní doby.

„Naše nákladová efektivita vyplývá z přímého spojení mezi spotřebiteli a výrobci, bez prostředníků a jejich přirážek,“ reagoval mluvčí Temu pro ČR Miłosz Ciekalski. Dodává, že mnoho obchodníků na Temu jsou renomovaní výrobci, kteří dodávají také americkým řetězcům Amazon, Walmart a Target.

V roce 2023 stanice CNN přinesla zprávu o nebezpečném malwaru v aplikaci Pinduoduo, který umožňoval bezprecedentní únik dat. Software podle bezpečnostních odborníků umožňoval sledovat aktivity v jiných aplikacích, kontrolovat přicházející upozornění, číst soukromé zprávy i měnit nastavení telefonu. Firma odmítla, že by byla aplikace nebezpečná, ale v březnu 2023 společnost Google kvůli těmto zjištěním pozastavila stahování aplikace.

Jeden ze zaměstnanců Pinduoduo popsal, že firma v roce 2020 vytvořila tým přibližně sta inženýrů a produktových manažerů, kteří hledali v telefonech zranitelná místa a vyvíjeli způsoby, jak je zneužít. Údajně s cílem špehovat uživatele, konkurenci a zvýšit tím prodeje.

Několik bezpečnostních odborníků vyhodnotilo aplikaci jako nebezpečnou. „Nikdy jsem nic takového neviděl, je to superexpanzivní,“ komentoval pozadí aplikace pro CNN Sergey Toshin, zakladatel bezpečnostního startupu Oversecured, který aplikaci označil za „nejnebezpečnější malware“.

Podle americké společnosti Grizzly Research, která prostřednictvím hloubkových auditů due dilligence provádí výzkumy veřejně obchodovatelných firem, byl tým odborníků, jenž stál u zrodu problematické aplikace, rozpuštěn, ale celý se přesunul do Temu.

Grizzly Research vydala v září 2023 velmi kritickou studii, která se zabývá analýzou zdrojového kódu aplikace Temu a procesů, na nichž běží. Varovala, že nákupní aplikace je tím nejnebezpečnějším malwarem /spywarem, který je aktuálně na trhu. Mluví o drancování dat zákazníků a varuje před jejím používáním.

„Temu je od chvíle, kdy aplikaci nainstalujete, schopno hacknout váš telefon, přepsat nastavení ochrany osobních údajů, získat přístup ke kontaktům, přesné poloze, v některých případech může pořídit snímky obrazovky spuštěných aplikací a v závislosti na udělených oprávněních mít přístup k textovým SMS zprávám a dalším dokumentům v telefonu,“ stojí ve zprávě.

Temu prostřednictvím svého mluvčího obvinění odmítá. Tvrdí, že jde o ničím nepodložená tvrzení od firmy, která vsadila na pokles akcií a chce z toho profitovat. Dodává, že akcie mateřské PDD Holdings, kótované na newyorské burze NASDAQ, od zveřejnění zprávy naopak vzrostly o více než 30 procent.

Mluvčí Temu Miłosz Ciekalski upozornil, že firma splňuje přísné bezpečnostní normy. „Bezpečnostní praxe aplikace Temu byla nezávisle certifikována německou společností DEKRA, aby splňovala přísné globální standardy,“ řekl SZ Byznys. Spolupracuje prý také s „etickými hackery“, kteří odhalují slabiny systému.

Přímo také odmítl, že by aplikace měla přístup k citlivým datům v telefonech. „Aplikace Temu nemá přístup k funkcím zařízení, jako je mikrofon, bluetooth, fotografie, kontakty, schránka, poloha a další oprávnění, jako jsou kalendáře,“ dodal.

V Česku zatím žádná analýza této aplikace nevznikla. Některé e-shopy však tvrdí, že tržiště, jako jsou Allegro, Kaufland a Temu, vykupují ve velkém reklamní prostor. Asociace pro elektronickou komerci (APEK), která zastupuje e-shopy, navíc v polovině března podala podnět k prošetření aktivit Temu na Českou obchodní inspekci. Podle ní tržiště u zlevněného zboží neuvádí nejnižší cenu za posledních třicet dní, jak určuje zákon, ale slevu počítá z doporučené nebo maloobchodní ceny.

„Temu aktivně přezkoumává praxi zobrazování slev, aby se ujistilo, že splňuje všechny platné zákony a předpisy,“ reagoval mluvčí.