Článek
Oblečení, potraviny a vlastně všechno, co by člověk k běžnému životu mohl potřebovat. Taková je nabídka čínské mobilní aplikace Pinduoduo. Při jejím nainstalování se nicméně neotevírá jen cesta k bezbřehým nákupům, ale i k velkému nebezpečí.
Pinduoduo, které používá měsíčně asi 750 milionů lidí, totiž dokázalo sledovat aktivity v jiných aplikacích, kontrolovat přicházející upozornění, číst soukromé zprávy i měnit nastavení telefonu. Informovala o tom stanice CNN.
Výzkumníci z kybernetické firmy Check Point Research, startupu pro zabezpečení aplikací Oversecured a společnosti WithSecure odhalili v analýze únorové verze aplikace přítomnost malwaru, tedy škodlivého softwaru vyvinutého za účelem krádeže dat nebo narušení systému.
Někteří zaměstnanci čínské společnosti pak přiznali, že firma pomocí něj sledovala své zákazníky i konkurenci - obojí za účelem zvýšení zisku.
Přestože řada aplikací sbírá data svých uživatelů, a některé to dělají i bez jejich souhlasu, rozsah akcí prováděných Pinduoduo je podle odborníků bezprecedentní.
Expert o zakazování TikToku
„Měli bychom si dávat větší pozor, co všechno aplikacím povolujeme. Na všechno, pokud možno, říkejte ne. To je základní úroveň opatrnosti, kterou by měli dodržovat všichni,“ radí technologický expert David Slížek.
„Ještě jsme neviděli, aby takhle široce užívaná aplikace využívala svá privilegia k tomu, aby získala přístup k něčemu, k čemu ho mít nemá. To je velmi neobvyklé a pro společnost Pinduoduo je to dosti usvědčující,“ vysvětlil Mikko Hyppönen, vedoucí výzkumu ve finské společnosti WithSecure, která se zabývá kybernetickou bezpečností.
Sergej Tošin, zakladatel Oversecured, označil Pinduoduo za „nejnebezpečnější malware“, jaký byl kdy mezi běžnými aplikacemi nalezen. „Nikdy předtím jsem nic takového neviděl. Je to něco jako superrozsáhlý malware,“ řekl.
Důkazy o existenci sofistikovaného malwaru v aplikaci Pinduoduo přicházejí v době, kdy jsou aplikace vyvinuté v Číně pod zvláštním drobnohledem kvůli obavám o bezpečnost dat. Příkladem je aplikace pro sdílení videí TikTok, připomněla CNN.
V posledních týdnech TikTok kvůli obavám o bezpečnost zakázala řada západních vlád a institucí, včetně britského parlamentu, nizozemské a belgické veřejné správy či novozélandského parlamentu. Koncem února totéž učinily instituce Evropské unie.
Rozsáhlým sběrem dat k většímu zisku
Neexistují žádné důkazy o tom, že by společnost Pinduoduo předávala údaje čínské vládě. Stanice CNN nicméně poukazuje na to, že Peking má na na podniky spadající pod jeho jurisdikci značný vliv. Z toho plynou obavy amerických zákonodárců, že by jakákoli společnost působící v Číně mohla být nucena spolupracovat při bezpečnostních operacích.
Stahování aplikace kvůli obavám z přítomnosti malwaru již v březnu pozastavila společnost Google. Pinduoduo nicméně odmítla, že by aplikace mohla být jakkoliv nebezpečná.
#China e-commerce giant #Pinduoduo is under fire over #malware.@Mikko: "Our team has reverse engineered the code and can confirm it tries to escalate rights, gain access to things normal apps wouldn't be able to do on Android." pic.twitter.com/9xBjTSNIQQ
— Kristie Lu Stout✌🏽 (@klustout) April 3, 2023
Společnost vytvořila v roce 2020 tým asi 100 inženýrů a produktových manažerů, kteří se zabývali vyhledáváním zranitelností v telefonech se systémem Android a vyvíjeli způsoby, jak je zneužít - což později přetavili v zisk, popsal jeden ze zaměstnanců Pinduoduo.
Díky rozsáhlému sběru dat o aktivitách uživatelů byla společnost podle zdroje schopna vytvořit komplexní seznam uživatelů, jejich zvyků, zájmů a preferencí. To jí umožnilo vylepšit algoritmus a nabídnout personalizovanější oznámení a reklamy, což přilákalo uživatele k nákupu, uvedl.
Společnost se podle anonymního zdroje zpočátku zaměřovala pouze na uživatele ve venkovských oblastech a menších městech, zatímco uživatelům ve větších městech, jako je Peking nebo Šanghaj, se vyhýbala.
Aplikace také dokázala tato data přijímat po dlouhou dobu. I po vypnutí běžela dále na pozadí a její odinstalování nebylo jednoduché. To jí umožnilo zvýšit počet aktivních uživatelů za měsíc, uvedl Hyppönen. Pinduoduo také špehovalo konkurenci tím, že sledovalo aktivitu v jiných nákupních aplikacích a získávalo od nich informace, dodal.
Mohlo by vás zajímat
České softwarové studio Applifting vyrábí aplikace pro firmy na celém světě. Jeho specifikem je, že se nesnaží své zákazníky k sobě připoutat a od počátku si drží svůj poněkud „punkový“ přístup.
Podezření na malware v aplikaci se poprvé objevilo koncem února ve zprávě čínské kyberbezpečnostní firmy Dark Navy. Přestože analýza přímo nejmenovala nákupního giganta, zpráva se rychle rozšířila mezi další výzkumníky, kteří společnost jmenovali. Někteří z analytiků následně přišli s vlastními zprávami, které původní zjištění potvrdily.
Na začátku března pak společnost vydala novou aktualizaci své aplikace, verzi 6.50.0. Ta podle odborníků citovaných CNN malware odstranila. Dva dny po aktualizaci společnost Pinduoduo rozpustila tým inženýrů a produktových manažerů, kteří škodlivý software vyvinuli, uvedl pro stanici zdroj z čínské firmy.
