Însă, potrivit cercetătorilor în domeniul securității cibernetice, aceasta poate, de asemenea, să ocolească securitatea telefonului mobil al utilizatorilor pentru a monitoriza activitățile din alte aplicații, a verifica notificările, a citi mesajele private și a modifica setările.

Iar odată instalată, este greu de eliminat.

În timp ce multe aplicații colectează cantități uriașe de date ale utilizatorilor, uneori fără consimțământul explicit al acestora, experții spun că gigantul de comerț electronic Pinduoduo a dus încălcarea confidențialității și a securității datelor la un alt nivel.

În cadrul unei investigații detaliate, CNN a vorbit cu o jumătate de duzină de echipe de securitate cibernetică din Asia, Europa și Statele Unite – precum și cu mai mulți foști și actuali angajați ai Pinduoduo – după ce a primit un pont.

Mai mulți experți au identificat prezența unui malware în aplicația Pinduoduo care exploata vulnerabilități în sistemele de operare Android. Persoane din interiorul companiei au declarat că exploit-urile au fost utilizate pentru a spiona utilizatorii și concurenții, presupunându-se că pentru a crește vânzările.

„Nu am mai văzut o astfel de aplicație mainstream care să încerce să-și mărească privilegiile pentru a obține acces la lucruri la care nu ar trebui să aibă acces”, a declarat Mikko Hyppönen, director de cercetare la WithSecure, o firmă finlandeză de securitate cibernetică. „Acest lucru este extrem de neobișnuit și este destul de condamnabil”.

Malware, prescurtare de la malicious software, se referă la orice software dezvoltat pentru a fura date sau a interfera cu sistemele informatice și dispozitivele mobile.

Dovezile privind existența unui malware sofisticat în aplicația Pinduoduo vin în contextul în care aplicațiile dezvoltate de chinezi, cum ar fi TikTok, fac obiectul unei examinări intense din cauza preocupărilor legate de securitatea datelor.

Unii legislatori americani fac presiuni pentru interzicerea la nivel național a popularei aplicații de clipuri video scurte, al cărei director general Shou Chew a fost interogat de Congres timp de cinci ore săptămâna trecută cu privire la relațiile sale cu guvernul chinez.

De asemenea, dezvăluirile sunt de natură să atragă mai multă atenție asupra surorii internaționale a Pinduoduo, aplicația Temu, care se află în fruntea topurilor de descărcări din SUA și se extinde rapid pe alte piețe occidentale. Ambele sunt deținute de PDD, o companie multinațională cu rădăcini în China, listată la Nasdaq.

În timp ce Temu nu a fost implicată, presupusele acțiuni ale Pinduoduo riscă să umbrească expansiunea globală ale celei dintâi.

Nu există nicio dovadă că Pinduoduo a predat date guvernului chinez. Dar, având în vedere că Beijingul se bucură de o influență semnificativă asupra întreprinderilor aflate sub jurisdicția sa, există îngrijorări din partea legislatorilor americani că orice companie care operează în China ar putea fi obligată să coopereze cu o gamă largă de activități de securitate.

Constatările vin după ce Google a suspendat Pinduoduo din Play Store în luna martie, invocând programe malware identificate în versiunile aplicației.

Un raport ulterior al Bloomberg a afirmat că o firmă rusă de securitate cibernetică a identificat, de asemenea, un potențial malware în aplicație.

Pinduoduoduo a respins anterior „speculațiile și acuzațiile conform cărora aplicația Pinduoduo este malițioasă”.

CNN a contactat PDD de mai multe ori prin e-mail și telefonic pentru comentarii, dar nu a primit niciun răspuns.

Ascensiunea spre succes

Pinduoduo, care se mândrește cu o bază de utilizatori care reprezintă trei sferturi din populația online din China și o valoare de piață de trei ori mai mare decât cea a eBay, nu a fost întotdeauna un colos al cumpărăturilor online.

Înființat în 2015 în Shanghai de Colin Huang, un fost angajat al Google, start-up-ul se lupta să se impună pe o piață dominată de mult timp de către stâlpii comerțului electronic Alibaba și JD.com.

A reușit prin oferirea de reduceri mari la comenzile de cumpărare în grup și familie și prin concentrarea pe zonele rurale cu venituri mici.

Pinduoduo a înregistrat o creștere cu trei cifre a numărului de utilizatori lunari până la sfârșitul anului 2018, anul în care s-a listat la New York. Până la jumătatea anului 2020, însă, creșterea numărului de utilizatori lunari a încetinit la aproximativ 50% și va continua să scadă, potrivit rapoartelor sale privind câștigurile.

În 2020, potrivit unui angajat actual al Pinduoduo, compania a înființat o echipă de aproximativ 100 de ingineri și manageri de produs pentru a căuta vulnerabilități în telefoanele Android și pentru a dezvolta modalități de a le exploata – și de a transforma acest lucru în profit.

Potrivit sursei, care a solicitat anonimatul de teama represaliilor, compania a vizat inițial doar utilizatorii din zonele rurale și orașele mici, evitând utilizatorii din mega-orașe precum Beijing și Shanghai.

Prin colectarea de date expansive privind activitățile utilizatorilor, compania a reușit să creeze un portret cuprinzător al obiceiurilor, intereselor și preferințelor utilizatorilor, potrivit sursei citate.

Acest lucru i-a permis să își îmbunătățească modelul de învățare automată pentru a oferi notificări push și reclame mai personalizate, atrăgând utilizatorii să deschidă aplicația și să plaseze comenzi, au precizat aceștia.

Echipa a fost desființată la începutul lunii martie, a adăugat sursa, după ce au ieșit la iveală întrebări despre activitățile lor.

PDD nu a răspuns la solicitările repetate ale CNN de a face comentarii cu privire la această echipă.

Ce au descoperit experții

Contactați de CNN, cercetătorii de la firma cibernetică Check Point Research din Tel Aviv, de la Oversecured, un start-up de securitate a aplicațiilor cu sediul în Delaware, și de la WithSecure, de la Hyppönen, au efectuat o analiză independentă a versiunii 6.49.0 a aplicației, lansată în magazinele de aplicații chineze la sfârșitul lunii februarie.

Google Play nu este disponibil în China, iar utilizatorii de Android din această țară își descarcă aplicațiile din magazinele locale. În martie, când Google a suspendat Pinduoduo, compania a declarat că a descoperit programe malware în versiunile off-Play ale aplicației.

Cercetătorii au găsit cod conceput pentru a realiza o „escaladare a privilegiilor”: un tip de atac cibernetic care exploatează un sistem de operare vulnerabil pentru a obține un nivel de acces la date mai mare decât ar trebui să aibă, potrivit experților.

„Echipa noastră a realizat o inginerie inversă a acelui cod și putem confirma că acesta încearcă să escaladeze drepturile, încearcă să obțină acces la lucruri pe care aplicațiile normale nu ar putea să le facă pe telefoanele Android”, a declarat Hyppönen.

Aplicația a reușit să continue să ruleze în fundal și să împiedice dezinstalarea sa, ceea ce i-a permis să își sporească rata lunară de utilizatori activi, a declarat Hyppönen. De asemenea, avea capacitatea de a spiona concurenții prin urmărirea activității altor aplicații de cumpărături și obținerea de informații de la acestea, a adăugat el.

Check Point Research a identificat, în plus, modalități prin care aplicația a reușit să se sustragă controlului.

Aplicația a implementat o metodă care îi permitea să lanseze actualizări fără un proces de revizuire a magazinului de aplicații menit să detecteze aplicațiile malițioase, au spus cercetătorii.

Aceștia au identificat, de asemenea, în unele plug-in-uri, intenția de a mușamaliza componente potențial malițioase, ascunzându-le sub nume de fișiere legitime, cum ar fi cele ale Google.

„O astfel de tehnică este folosită pe scară largă de dezvoltatorii de malware care injectează coduri malițioase în aplicații care au funcționalități legitime”, au spus aceștia.

Sistemul Android a fost vizat

În China, aproximativ trei sferturi dintre utilizatorii de smartphone-uri folosesc sistemul Android. iPhone-ul de la Apple are o cotă de piață de 25%, potrivit lui Daniel Ives de la Wedbush Securities.

Serghei Toșin, fondatorul Oversecured, a declarat că malware-ul Pinduoduo a vizat în mod specific diferite sisteme de operare bazate pe Android, inclusiv cele utilizate de Samsung, Huawei, Xiaomi și Oppo.

CNN a contactat aceste companii pentru comentarii.

Toșin a descris Pinduoduo ca fiind „cel mai periculos malware” găsit vreodată printre aplicațiile mainstream.

„Nu am mai văzut niciodată așa ceva. Este ca și cum ar fi super expansiv”, a spus el.

Majoritatea producătorilor de telefoane personalizează la nivel global software-ul Android de bază, Android Open Source Project (AOSP), pentru a adăuga caracteristici și aplicații unice la propriile dispozitive.

Toșin a descoperit că Pinduoduo a exploatat aproximativ 50 de puncte vulnerabile ale sistemului Android. Potrivit lui Toșin, aplicația a avut acces la locurile, contactele, calendarele, notificările și albumele foto ale utilizatorilor, fără consimțământul acestora. De asemenea, a putut modifica setările sistemului și accesa conturile de rețele sociale și chat-urile utilizatorilor, a mai spus el.

Dintre cele șase echipe cu care CNN a vorbit pentru acest articol, trei nu au efectuat examinări complete. Iar examinările lor primare au arătat că Pinduoduo a cerut un număr mare de permisiuni dincolo de funcțiile normale ale unei aplicații de cumpărături.

Acestea includeau „permisiuni potențial invazive”, cum ar fi „set wallpaper” și „download fără notificare”, a declarat René Mayrhofer, șeful Institutului de Rețele și Securitate de la Universitatea Johannes Kepler Linz din Austria.

Desființarea echipei

Suspiciunile privind existența unui malware în aplicația Pinduoduo au fost ridicate pentru prima dată la sfârșitul lunii februarie, într-un raport al unei firme chineze de securitate cibernetică numită Dark Navy. Chiar dacă analiza nu a numit direct gigantul cumpărăturilor, raportul s-a răspândit rapid printre alți cercetători, care au divulgat numele companiei. Unii dintre analiști au elaborat apoi propriile rapoarte, care au confirmat constatările inițiale.

La scurt timp după aceea, pe 5 martie, Pinduoduo a emis o nouă actualizare a aplicației sale, versiunea 6.50.0, care a eliminat exploit-urile, susțin doi experți cu care a vorbit CNN.

La două zile după actualizare, Pinduoduo a desființat echipa de ingineri și manageri de produs care dezvoltase exploit-urile, potrivit sursei Pinduoduoduo. A doua zi, membrii echipei s-au trezit blocați în afara aplicației de comunicare la locul de muncă a Pinduoduo, Knock, și au pierdut accesul la fișierele din rețeaua internă a companiei. De asemenea, inginerii s-au trezit cu accesul la big data, la fișele de date și la sistemul de jurnal revocat, a precizat sursa.

Cea mai mare parte a echipei a fost transferată să lucreze la Temu. Aceștia au fost repartizați la diferite departamente din cadrul filialei, unii lucrând la marketing sau la dezvoltarea de notificări, potrivit sursei.

Un grup de bază de aproximativ 20 de ingineri de securitate cibernetică specializați în găsirea și exploatarea vulnerabilităților a rămas la Pinduoduo, a precizat aceasta.

Toșin de la Oversecured, care a analizat actualizarea, a declarat că, deși exploatările au fost eliminate, codul de bază era încă acolo și putea fi reactivat pentru a efectua atacuri.

Eșecul supravegherii

Pinduoduo a reușit să își crească baza de utilizatori în contextul în care guvernul chinez a luat măsuri de reglementare împotriva Big Tech, care au început la sfârșitul anului 2020.

În acel an, Ministerul Industriei și Tehnologiei Informației a lansat o campanie amplă de reprimare a aplicațiilor care colectează și utilizează în mod ilegal date personale.

În 2021, Beijingul a adoptat prima sa legislație cuprinzătoare privind confidențialitatea datelor.

Legea privind protecția informațiilor personale stipulează că nicio parte nu trebuie să colecteze, să prelucreze sau să transmită ilegal informații personale. De asemenea, le este interzis să exploateze vulnerabilitățile de securitate legate de internet sau să se angajeze în acțiuni care pun în pericol securitatea cibernetică.

Potrivit experților în politici tehnologice, aparentul malware al lui Pinduoduo ar fi o încălcare a acestor legi și ar fi trebuit să fie detectat de autoritatea de reglementare.

„Acest lucru ar fi jenant pentru Ministerul Industriei și Tehnologiei Informației, deoarece aceasta este treaba lor”, a declarat Kendra Schaefer, expert în politici tehnologice la Trivium China, o companie de consultanță. „Ei ar trebui să verifice Pinduoduo, iar faptul că nu au găsit (nimic) este jenant pentru autoritatea de reglementare.”

Ministerul a publicat în mod regulat liste ale rușinii cu aplicațiile despre care s-a constatat că au subminat confidențialitatea utilizatorilor sau alte drepturi. De asemenea, el publică o listă separată cu aplicațiile care sunt eliminate din magazinele de aplicații pentru că nu respectă reglementările.

Pinduoduo nu a apărut pe niciuna dintre liste.

CNN a contactat Ministerul Industriei și Tehnologiei Informației și Administrația Spațiului Cibernetic din China pentru comentarii.

Pe rețelele de socializare chineze, unii experți în securitate cibernetică s-au întrebat de ce autoritățile de reglementare nu au luat nicio măsură.

„Probabil că niciuna dintre autoritățile noastre de reglementare nu poate înțelege codificarea și programarea și nici nu înțelege tehnologia. Nici măcar nu poți înțelege codul malițios atunci când se înfige chiar sub ochii tăi”, a scris săptămâna trecută un expert în securitate cibernetică într-o postare virală pe Weibo.

Postarea a fost cenzurată a doua zi.