1

Т ова е едно от най-популярните приложения за пазаруване в Китай, което продава дрехи, хранителни стоки и почти всичко останало под слънцето на повече от 750 милиона потребители месечно.

Но според изследователи в областта на киберсигурността то може също така да заобикаля защитата на мобилните телефони на потребителите, за да следи дейностите в други приложения, да проверява известия, да чете лични съобщения и да променя настройки.

А веднъж инсталирана, тя трудно се премахва.

Въпреки че много приложения събират огромни масиви от потребителски данни, понякога без изрично съгласие, експертите твърдят, че гигантът в електронната търговия Pinduoduo е издигнал нарушаването на неприкосновеността на личния живот и сигурността на данните на следващо ниво.

В рамките на подробно разследване CNN разговаря с половин дузина екипи по киберсигурност от Азия, Европа и САЩ, както и с множество бивши и настоящи служители на Pinduoduo, след като получи сигнал.

Множество експерти установиха наличието на зловреден софтуер в приложението Pinduoduo, който използва уязвимости в операционните системи Android. Вътрешни за компанията лица заявиха, че експлойтите са били използвани за шпиониране на потребители и конкуренти, уж за да се увеличат продажбите.

"Досега не сме виждали подобно масово приложение, което да се опитва да увеличи привилегиите си, за да получи достъп до неща, до които не би трябвало да има достъп", заяви Микко Хиппонен, главен изследовател във WithSecure, финландска фирма за киберсигурност.

Зловреден софтуер, съкратено от злонамерен софтуер, се отнася до всеки софтуер, разработен с цел кражба на данни или намеса в работата на компютърни системи и мобилни устройства.

Доказателствата за наличието на сложен зловреден софтуер в приложението Pinduoduo идват на фона на интензивния контрол върху разработените в Китай приложения като TikTok поради опасения за сигурността на данните.

Някои американски законодатели настояват за национална забрана на популярното приложение за кратки видеоклипове, чийто главен изпълнителен директор Шоу Чу беше разпитван в продължение на пет часа от Конгреса миналата седмица за отношенията му с китайското правителство.

Разкритията вероятно ще привлекат повече внимание и към международното сестринско приложение на Pinduoduo, Temu, което оглавява класациите за изтегляне в САЩ и бързо се разпространява на други западни пазари. И двете са собственост на листнатата на Nasdaq PDD, мултинационална компания с корени в Китай.

Въпреки че Temu не е замесено, предполагаемите действия на Pinduoduo рискуват да хвърлят сянка върху глобалното разрастване на сестринското приложение.

Няма доказателства, че Pinduoduo е предала данни на китайското правителство. Но тъй като Пекин се ползва със значително влияние върху предприятията под негова юрисдикция, има опасения от страна на американските законодатели, че всяка компания, работеща в Китай, може да бъде принудена да сътрудничи в широк кръг от дейности в областта на сигурността.

Констатациите следват спирането на Pinduoduo от Google Play Store през март, като се позовават на открит зловреден софтуер във версии на приложението.

В последвалия доклад на Bloomberg се казва, че руска фирма за киберсигурност също е идентифицирала потенциален зловреден софтуер в приложението.

Преди това Pinduoduo отхвърли "спекулациите и обвиненията, че приложението Pinduoduo е злонамерено".

Възход към успеха

Pinduoduo, която може да се похвали с потребителска база, представляваща три четвърти от онлайн населението на Китай, и с пазарна стойност, три пъти по-голяма от тази на eBay (EBAY), не винаги е била гигант в онлайн пазаруването.

Основан през 2015 г. в Шанхай от Колин Хуанг, бивш служител на Google, стартъпът се бореше да се наложи на пазар, отдавна доминиран от водещите компании за електронна търговия Alibaba (BABA) и JD.com (JD).

Тя успя да постигне успех, като предлагаше големи отстъпки за поръчки за групово пазаруване на приятели и семейства и се съсредоточи върху селските райони с по-ниски доходи.

Pinduoduo отбеляза трицифрен ръст на месечните си потребители до края на 2018 г., годината, в която се листна на борсата в Ню Йорк. До средата на 2020 г. обаче увеличението на месечните потребители се забави до около 50% и ще продължи да намалява, според отчетите за приходите на компанията.

Според настоящ служител на Pinduoduo именно през 2020 г. компанията е създала екип от около 100 инженери и продуктови мениджъри, които да търсят уязвимости в телефоните с Android, да разработват начини за използването им - и да превръщат това в печалба.

Източникът, пожелал анонимност поради страх от репресии, първоначално компанията се е насочила само към потребители в селските райони и по-малките градове, като е избягвала потребителите в мегаполиси като Пекин и Шанхай.

"Целта е била да се намали рискът от разкриване", казва той.

Според източника чрез събиране на обширни данни за дейностите на потребителите компанията е успяла да създаде цялостен портрет на техните навици, интереси и предпочитания.

Това ѝ е позволило да подобри модела си за машинно обучение, за да предлага по-персонализирани push известия и реклами, привличайки потребителите да отворят приложението и да направят поръчки, казаха те.

Екипът е бил разформирован в началото на март, допълва източникът, след като са излезли наяве въпроси за дейността му.

Какво откриха експертите

Потърсени от CNN, изследователи от базираната в Тел Авив киберфирма Check Point Research, базирания в Делауеър стартъп за сигурност на приложенията Oversecured и WithSecure на Хипонен извършиха независим анализ на версията 6.49.0 на приложението, пусната в китайските магазини за приложения в края на февруари.

Google Play не е достъпен в Китай и потребителите на Android в страната изтеглят приложенията си от местните магазини. През март, когато Google спря Pinduoduo, тя заяви, че е открила зловреден софтуер във версиите на приложението извън Play.

Изследователите откриха код, предназначен за постигане на "повишаване на привилегиите": вид кибератака, която използва уязвима операционна система, за да получи по-високо ниво на достъп до данни, отколкото се предполага, че има, според експертите.

Приложението в България, което спасява животи

"Екипът ни направи обратен инженеринг на този код и можем да потвърдим, че той се опитва да ескалира правата, опитва се да получи достъп до неща, които нормалните приложения не биха могли да правят на телефони с Android", каза Хиппонен.

Приложението е можело да продължи да работи във фонов режим и да предотврати деинсталирането си, което му е позволило да увеличи процента на месечните си активни потребители, каза Хипхонен. То е имало и възможност да шпионира конкурентите си, като е проследявало активността на други приложения за пазаруване и е получавало информация от тях, добави той.

Check Point Research допълнително идентифицира начини, по които приложението е било в състояние да избегне проверката.

Приложението е използвало метод, който му е позволявал да изпраща актуализации без процеса на преглед в магазина за приложения, предназначен за откриване на злонамерени приложения, заявиха изследователите.

Те също така са идентифицирали в някои приставки намерението да се прикрият потенциално злонамерени компоненти, като се скрият под легитимни имена на файлове, като например тези на Google.

"Такава техника се използва широко от разработчиците на зловреден софтуер, които инжектират зловреден код в приложения, които имат легитимна функционалност", казаха те.

Андроид е мишена

В Китай около три четвърти от потребителите на смартфони са със системата Android. Според Даниел Айвс от Wedbush Securities iPhone на Apple (AAPL) има 25% пазарен дял.

Сергей Тошин, основател на Oversecured, заяви, че злонамереният софтуер на Pinduoduo е бил специално насочен към различни операционни системи, базирани на Android, включително тези, използвани от Samsung, Huawei, Xiaomi и Oppo.

Тошин описа Pinduoduo като "най-опасния зловреден софтуер", откриван някога сред масовите приложения.

"Никога досега не съм виждал подобно нещо. Това е нещо като супер експанзия", каза той.

Това са най-теглените мобилни приложения на десетилетието

Повечето производители на телефони в световен мащаб персонализират основния софтуер на Android - Android Open Source Project (AOSP), за да добавят уникални функции и приложения към собствените си устройства.

Тошин установи, че Pinduoduo е използвал около 50 уязвимости на системата Android. Повечето от експлойтите са били пригодени за персонализирани части, известни като код на производителя на оригинално оборудване (OEM), който обикновено се одитира по-рядко от AOSP и следователно е по-податлив на уязвимости, каза той.

Pinduoduo също така експлоатира редица уязвимости на AOSP, включително една, която е била сигнализирана от Тошин на Google през февруари 2022 г. Google е отстранила грешката през март тази година, каза той.

Според Тошин те са позволили на Pinduoduo достъп до местоположението на потребителите, контактите, календарите, известията и фотоалбумите им без тяхното съгласие. Освен това те са могли да променят системните настройки и да получат достъп до акаунтите на потребителите в социалните мрежи и до чатовете им, каза той.

От шестте екипа, с които CNN разговаря за този материал, три не са извършили пълни проверки. Но техните първични прегледи показаха, че Pinduoduo е поискал голям брой разрешения извън нормалните функции на едно приложение за пазаруване.

Те включваха "потенциално инвазивни разрешения" като "задаване на тапет" и "изтегляне без известие", каза Рене Майрхофер, ръководител на Института за мрежи и сигурност в университета "Йоханес Кеплер" в Линц, Австрия.

Подозренията за наличие на зловреден софтуер в приложението на Pinduoduo бяха повдигнати за първи път в края на февруари в доклад на китайската фирма за киберсигурност Dark Navy. Въпреки че в анализа не се споменава директно името на гиганта в пазаруването, докладът се разпространи бързо сред други изследователи, които назоваха компанията. Някои от анализаторите последваха със собствени доклади, потвърждаващи първоначалните констатации.

На следващия ден членовете на екипа се оказали блокирани в приложението за комуникация на работното място, разработено по поръчка на Pinduoduo, Knock, и загубили достъп до файлове във вътрешната мрежа на компанията. Инженерите също така открили, че достъпът им до големи данни, информационни листове и системата за регистриране на данни е отнет, казва източникът.

По-голямата част от екипа е прехвърлена на работа в Temu. Според източника те са били разпределени в различни отдели на дъщерното дружество, като някои от тях са работили по маркетинга или са разработвали push нотификации.

Основна група от около 20 инженери по киберсигурност, които са специализирани в откриването и използването на уязвимости, остава в Pinduoduo, казаха те.

Тошин от Oversecured, който разгледа актуализацията, заяви, че въпреки че експлойтите са били премахнати, основният код все още е бил налице и е можел да бъде активиран отново за извършване на атаки.

Провал на надзора

Pinduoduo успя да увеличи потребителската си база на фона на регулаторните мерки на китайското правителство срещу големите технологии, които започнаха в края на 2020 г.

През същата година Министерството на промишлеността и информационните технологии започна мащабна репресия срещу приложения, които незаконно събират и използват лични данни. През 2021 г. Пекин прие първото си всеобхватно законодателство за защита на личните данни.

Законът за защита на личните данни постановява, че никоя страна не трябва да събира, обработва или предава незаконно лични данни. Също така им е забранено да използват уязвимости в сигурността, свързани с интернет, или да участват в действия, които застрашават киберсигурността.

Очевидният зловреден софтуер на Pinduoduo би бил нарушение на тези закони, твърдят експерти по техническа политика, и е трябвало да бъде открит от регулатора.

"Това би било неудобно за Министерството на промишлеността и информационните технологии, защото това е тяхна работа", казва Кендра Шефер, експерт по технологична политика в консултантската компания Trivium China. "Те трябва да проверяват Pinduoduo и фактът, че не са открили (нищо), е смущаващ за регулатора".

Министерството редовно публикува списъци, в които назовава и засрамва приложения, за които е установено, че нарушават неприкосновеността на личния живот на потребителите или други права. То публикува и отделен списък на приложенията, които са премахнати от магазините за приложения заради неспазване на разпоредбите.

Pinduoduo не фигурира в нито един от тези списъци.

 

CNN се обърна за коментар към Министерството на промишлеността и информационните технологии и Администрацията за киберпространството на Китай.

В китайските социални медии някои експерти по киберсигурност поставиха въпроса защо регулаторите не са предприели никакви действия.

"Вероятно никой от нашите регулатори не може да разбира от кодиране и програмиране, нито пък разбира от технологии. Дори не можеш да разбереш зловредния код, когато ти го бутнат точно пред лицето", написа миналата седмица експерт по киберсигурност с 1,8 млн. последователи във вирусен пост в Weibo, платформа, подобна на Twitter.

Коментари 1
Кирилица:
Фонетична
Имате 2000 позволени символа

* Моля, коментирайте конкретната статия и използвайте кирилица! Не се толерират мнения с обидно или нецензурно съдържание, на верска или етническа основа, както и написани само с главни букви!

1 коментар
 
Обратно в сайта X

ДОСТЪП ЗА ЛОГНАТИ ПОТРЕБИТЕЛИ За да пишете, оценявате или докладвате коментари, моля логнете се в профила си.

  1. Запомни ме
забравена парола Полетата маркирани с * са задължителни
Полето Потребителско име не трябва да е празно.
Полето E-mail не трябва да е празно.
Полето Парола не трябва да е празно.
Полето Повторете паролата не трябва да е празно.
  1. Декларирам, че съм се запознал с Общите условия за ползване на услугите на Нетинфо.
Полетата маркирани с * са задължителни
От 1 януари: Поскъпват таксите за туристите в Гърция

От 1 януари: Поскъпват таксите за туристите в Гърция

Свят Преди 2 часа

Те са за хотелите, круизите и пътищата и се въвеждат заради новия климатичен данък, който измества досегашния туристически

Информатор на OpenAI е намерен мъртъв в Сан Франциско

Информатор на OpenAI е намерен мъртъв в Сан Франциско

Свят Преди 3 часа

През последните месеци Баладжи се изказа публично срещу практиките на компанията за изкуствен интелект

Арестуваха бивш министър на отбраната на Бразилия за готвен преврат

Арестуваха бивш министър на отбраната на Бразилия за готвен преврат

Свят Преди 6 часа

Брага Нето също така е бил началник на канцеларията на бившия президент Жаир Болсонаро

Кой е Михаил Кавелашвили – бившият футболист, който стана президент на Грузия

Кой е Михаил Кавелашвили – бившият футболист, който стана президент на Грузия

Свят Преди 6 часа

Кавелашвили играе като нападател за английския отбор „Манчестър сити“ в периода 1995-1996 г.

От прокурор суперзвезда до президент: Историята на сваления Юн Сук-йол

От прокурор суперзвезда до президент: Историята на сваления Юн Сук-йол

Свят Преди 7 часа

Той е обвинен, че е подкопал южнокорейската демокрация, след като на 3 декември въведе военно положение

Нидерландия връща на Мексико череп, инкрустиран с мозайки

Нидерландия връща на Мексико череп, инкрустиран с мозайки

Свят Преди 7 часа

Той вероятно е с произход от племето микстеки и е инкрустиран с мозаечни плочки

Путин се срещна с бившия казахстански президент Назарбаев

Путин се срещна с бившия казахстански президент Назарбаев

Свят Преди 8 часа

Предишната среща между Путин и Назарбаев се състоя в края на 2023 г.

Силни взривове отекнаха в Одеса; градът и областта са атакувани с ракети

Силни взривове отекнаха в Одеса; градът и областта са атакувани с ракети

Свят Преди 8 часа

Местните власти призоваха всички граждани да се укрият в бомбоубежища

Съдът освободи под гаранция двамата обвинени за източване на държавния бюджет

Съдът освободи под гаранция двамата обвинени за източване на държавния бюджет

България Преди 8 часа

Съдът не уважи искането на прокуратурата Живодар Терзиев и Борис Иванов да бъдат задържани под стража

Израел нанесе десетки удари в Сирия

Израел нанесе десетки удари в Сирия

Свят Преди 9 часа

Унищожени са няколко цели, включително изследователски център северно от Дамаск

"Българската Коледа" дарява модерно оборудване на Неонатологичното отделение в МБАЛ Благоевград

"Българската Коледа" дарява модерно оборудване на Неонатологичното отделение в МБАЛ Благоевград

Вдъхновени истории Преди 9 часа

С него много по-точно ще се извършват диагностични процедури, които са задължителни за недоносени или рисково родени бебета

Адвокат поиска да бъде отхвърлен иска срещу Джей Зи, обвинен в изнасилване

Адвокат поиска да бъде отхвърлен иска срещу Джей Зи, обвинен в изнасилване

Свят Преди 9 часа

Според защитника има несъответствия в твърденията на ищцата

Асен Василев: Нека Борисов да подпише декларацията и ще започнем разговори

Асен Василев: Нека Борисов да подпише декларацията и ще започнем разговори

България Преди 10 часа

Съпредседателят на "Продължаваме - Промяната" коментира още и Бюджет 2025

След побоя: Разбиха витрината на фризьорския салон на Борислав Сапунджиев (СНИМКА)

След побоя: Разбиха витрината на фризьорския салон на Борислав Сапунджиев (СНИМКА)

България Преди 10 часа

Свидетел казал на потърпевшия, че маскиран мъж счупил стъклото с бутилка

Кой е Хан Док-су, изпълняващ длъжността президент на Южна Корея след импийчмънта на Юн Сук-йол

Кой е Хан Док-су, изпълняващ длъжността президент на Южна Корея след импийчмънта на Юн Сук-йол

Свят Преди 10 часа

Той е изправен пред трудната задача да поддържа функциониращо правителството в най-тежката политическа криза от четири десетилетия насам

TikTok предизвикателство изпрати дете в „Пирогов” (ВИДЕО)

TikTok предизвикателство изпрати дете в „Пирогов” (ВИДЕО)

България Преди 11 часа

Инцидентът е от столичното 119-о училище