Т ова е едно от най-популярните приложения за пазаруване в Китай, което продава дрехи, хранителни стоки и почти всичко останало под слънцето на повече от 750 милиона потребители месечно.
Но според изследователи в областта на киберсигурността то може също така да заобикаля защитата на мобилните телефони на потребителите, за да следи дейностите в други приложения, да проверява известия, да чете лични съобщения и да променя настройки.
А веднъж инсталирана, тя трудно се премахва.
Въпреки че много приложения събират огромни масиви от потребителски данни, понякога без изрично съгласие, експертите твърдят, че гигантът в електронната търговия Pinduoduo е издигнал нарушаването на неприкосновеността на личния живот и сигурността на данните на следващо ниво.
В рамките на подробно разследване CNN разговаря с половин дузина екипи по киберсигурност от Азия, Европа и САЩ, както и с множество бивши и настоящи служители на Pinduoduo, след като получи сигнал.
Множество експерти установиха наличието на зловреден софтуер в приложението Pinduoduo, който използва уязвимости в операционните системи Android. Вътрешни за компанията лица заявиха, че експлойтите са били използвани за шпиониране на потребители и конкуренти, уж за да се увеличат продажбите.
Chinese Shopping App Under Fire for Allegedly Spying on Users, Say Cybersecurity Experts #chineseshoppingapp #China #Pinduoduo #CyberSecurity https://t.co/Q9IDOUd35K
— Distinct Post. (@DistinctPost) April 3, 2023
"Досега не сме виждали подобно масово приложение, което да се опитва да увеличи привилегиите си, за да получи достъп до неща, до които не би трябвало да има достъп", заяви Микко Хиппонен, главен изследовател във WithSecure, финландска фирма за киберсигурност.
Зловреден софтуер, съкратено от злонамерен софтуер, се отнася до всеки софтуер, разработен с цел кражба на данни или намеса в работата на компютърни системи и мобилни устройства.
Доказателствата за наличието на сложен зловреден софтуер в приложението Pinduoduo идват на фона на интензивния контрол върху разработените в Китай приложения като TikTok поради опасения за сигурността на данните.
Някои американски законодатели настояват за национална забрана на популярното приложение за кратки видеоклипове, чийто главен изпълнителен директор Шоу Чу беше разпитван в продължение на пет часа от Конгреса миналата седмица за отношенията му с китайското правителство.
Разкритията вероятно ще привлекат повече внимание и към международното сестринско приложение на Pinduoduo, Temu, което оглавява класациите за изтегляне в САЩ и бързо се разпространява на други западни пазари. И двете са собственост на листнатата на Nasdaq PDD, мултинационална компания с корени в Китай.
Въпреки че Temu не е замесено, предполагаемите действия на Pinduoduo рискуват да хвърлят сянка върху глобалното разрастване на сестринското приложение.
Няма доказателства, че Pinduoduo е предала данни на китайското правителство. Но тъй като Пекин се ползва със значително влияние върху предприятията под негова юрисдикция, има опасения от страна на американските законодатели, че всяка компания, работеща в Китай, може да бъде принудена да сътрудничи в широк кръг от дейности в областта на сигурността.
Констатациите следват спирането на Pinduoduo от Google Play Store през март, като се позовават на открит зловреден софтуер във версии на приложението.
В последвалия доклад на Bloomberg се казва, че руска фирма за киберсигурност също е идентифицирала потенциален зловреден софтуер в приложението.
Преди това Pinduoduo отхвърли "спекулациите и обвиненията, че приложението Pinduoduo е злонамерено".
Възход към успеха
Pinduoduo, която може да се похвали с потребителска база, представляваща три четвърти от онлайн населението на Китай, и с пазарна стойност, три пъти по-голяма от тази на eBay (EBAY), не винаги е била гигант в онлайн пазаруването.
Основан през 2015 г. в Шанхай от Колин Хуанг, бивш служител на Google, стартъпът се бореше да се наложи на пазар, отдавна доминиран от водещите компании за електронна търговия Alibaba (BABA) и JD.com (JD).
Тя успя да постигне успех, като предлагаше големи отстъпки за поръчки за групово пазаруване на приятели и семейства и се съсредоточи върху селските райони с по-ниски доходи.
Pinduoduo отбеляза трицифрен ръст на месечните си потребители до края на 2018 г., годината, в която се листна на борсата в Ню Йорк. До средата на 2020 г. обаче увеличението на месечните потребители се забави до около 50% и ще продължи да намалява, според отчетите за приходите на компанията.
Според настоящ служител на Pinduoduo именно през 2020 г. компанията е създала екип от около 100 инженери и продуктови мениджъри, които да търсят уязвимости в телефоните с Android, да разработват начини за използването им - и да превръщат това в печалба.
Източникът, пожелал анонимност поради страх от репресии, първоначално компанията се е насочила само към потребители в селските райони и по-малките градове, като е избягвала потребителите в мегаполиси като Пекин и Шанхай.
"Целта е била да се намали рискът от разкриване", казва той.
Според източника чрез събиране на обширни данни за дейностите на потребителите компанията е успяла да създаде цялостен портрет на техните навици, интереси и предпочитания.
Това ѝ е позволило да подобри модела си за машинно обучение, за да предлага по-персонализирани push известия и реклами, привличайки потребителите да отворят приложението и да направят поръчки, казаха те.
Екипът е бил разформирован в началото на март, допълва източникът, след като са излезли наяве въпроси за дейността му.
Какво откриха експертите
Потърсени от CNN, изследователи от базираната в Тел Авив киберфирма Check Point Research, базирания в Делауеър стартъп за сигурност на приложенията Oversecured и WithSecure на Хипонен извършиха независим анализ на версията 6.49.0 на приложението, пусната в китайските магазини за приложения в края на февруари.
Google Play не е достъпен в Китай и потребителите на Android в страната изтеглят приложенията си от местните магазини. През март, когато Google спря Pinduoduo, тя заяви, че е открила зловреден софтуер във версиите на приложението извън Play.
Изследователите откриха код, предназначен за постигане на "повишаване на привилегиите": вид кибератака, която използва уязвима операционна система, за да получи по-високо ниво на достъп до данни, отколкото се предполага, че има, според експертите.
"Екипът ни направи обратен инженеринг на този код и можем да потвърдим, че той се опитва да ескалира правата, опитва се да получи достъп до неща, които нормалните приложения не биха могли да правят на телефони с Android", каза Хиппонен.
Приложението е можело да продължи да работи във фонов режим и да предотврати деинсталирането си, което му е позволило да увеличи процента на месечните си активни потребители, каза Хипхонен. То е имало и възможност да шпионира конкурентите си, като е проследявало активността на други приложения за пазаруване и е получавало информация от тях, добави той.
Check Point Research допълнително идентифицира начини, по които приложението е било в състояние да избегне проверката.
Приложението е използвало метод, който му е позволявал да изпраща актуализации без процеса на преглед в магазина за приложения, предназначен за откриване на злонамерени приложения, заявиха изследователите.
Те също така са идентифицирали в някои приставки намерението да се прикрият потенциално злонамерени компоненти, като се скрият под легитимни имена на файлове, като например тези на Google.
"Такава техника се използва широко от разработчиците на зловреден софтуер, които инжектират зловреден код в приложения, които имат легитимна функционалност", казаха те.
Андроид е мишена
В Китай около три четвърти от потребителите на смартфони са със системата Android. Според Даниел Айвс от Wedbush Securities iPhone на Apple (AAPL) има 25% пазарен дял.
Сергей Тошин, основател на Oversecured, заяви, че злонамереният софтуер на Pinduoduo е бил специално насочен към различни операционни системи, базирани на Android, включително тези, използвани от Samsung, Huawei, Xiaomi и Oppo.
Тошин описа Pinduoduo като "най-опасния зловреден софтуер", откриван някога сред масовите приложения.
"Никога досега не съм виждал подобно нещо. Това е нещо като супер експанзия", каза той.
Повечето производители на телефони в световен мащаб персонализират основния софтуер на Android - Android Open Source Project (AOSP), за да добавят уникални функции и приложения към собствените си устройства.
Тошин установи, че Pinduoduo е използвал около 50 уязвимости на системата Android. Повечето от експлойтите са били пригодени за персонализирани части, известни като код на производителя на оригинално оборудване (OEM), който обикновено се одитира по-рядко от AOSP и следователно е по-податлив на уязвимости, каза той.
Pinduoduo също така експлоатира редица уязвимости на AOSP, включително една, която е била сигнализирана от Тошин на Google през февруари 2022 г. Google е отстранила грешката през март тази година, каза той.
Според Тошин те са позволили на Pinduoduo достъп до местоположението на потребителите, контактите, календарите, известията и фотоалбумите им без тяхното съгласие. Освен това те са могли да променят системните настройки и да получат достъп до акаунтите на потребителите в социалните мрежи и до чатовете им, каза той.
От шестте екипа, с които CNN разговаря за този материал, три не са извършили пълни проверки. Но техните първични прегледи показаха, че Pinduoduo е поискал голям брой разрешения извън нормалните функции на едно приложение за пазаруване.
Те включваха "потенциално инвазивни разрешения" като "задаване на тапет" и "изтегляне без известие", каза Рене Майрхофер, ръководител на Института за мрежи и сигурност в университета "Йоханес Кеплер" в Линц, Австрия.
Подозренията за наличие на зловреден софтуер в приложението на Pinduoduo бяха повдигнати за първи път в края на февруари в доклад на китайската фирма за киберсигурност Dark Navy. Въпреки че в анализа не се споменава директно името на гиганта в пазаруването, докладът се разпространи бързо сред други изследователи, които назоваха компанията. Някои от анализаторите последваха със собствени доклади, потвърждаващи първоначалните констатации.
На следващия ден членовете на екипа се оказали блокирани в приложението за комуникация на работното място, разработено по поръчка на Pinduoduo, Knock, и загубили достъп до файлове във вътрешната мрежа на компанията. Инженерите също така открили, че достъпът им до големи данни, информационни листове и системата за регистриране на данни е отнет, казва източникът.
По-голямата част от екипа е прехвърлена на работа в Temu. Според източника те са били разпределени в различни отдели на дъщерното дружество, като някои от тях са работили по маркетинга или са разработвали push нотификации.
Основна група от около 20 инженери по киберсигурност, които са специализирани в откриването и използването на уязвимости, остава в Pinduoduo, казаха те.
Тошин от Oversecured, който разгледа актуализацията, заяви, че въпреки че експлойтите са били премахнати, основният код все още е бил налице и е можел да бъде активиран отново за извършване на атаки.
Провал на надзора
Pinduoduo успя да увеличи потребителската си база на фона на регулаторните мерки на китайското правителство срещу големите технологии, които започнаха в края на 2020 г.
App spying…https://t.co/QysAmcZmRs
— Edward Pacey (@EdwardPacey) April 3, 2023
През същата година Министерството на промишлеността и информационните технологии започна мащабна репресия срещу приложения, които незаконно събират и използват лични данни. През 2021 г. Пекин прие първото си всеобхватно законодателство за защита на личните данни.
Законът за защита на личните данни постановява, че никоя страна не трябва да събира, обработва или предава незаконно лични данни. Също така им е забранено да използват уязвимости в сигурността, свързани с интернет, или да участват в действия, които застрашават киберсигурността.
Очевидният зловреден софтуер на Pinduoduo би бил нарушение на тези закони, твърдят експерти по техническа политика, и е трябвало да бъде открит от регулатора.
"Това би било неудобно за Министерството на промишлеността и информационните технологии, защото това е тяхна работа", казва Кендра Шефер, експерт по технологична политика в консултантската компания Trivium China. "Те трябва да проверяват Pinduoduo и фактът, че не са открили (нищо), е смущаващ за регулатора".
Министерството редовно публикува списъци, в които назовава и засрамва приложения, за които е установено, че нарушават неприкосновеността на личния живот на потребителите или други права. То публикува и отделен списък на приложенията, които са премахнати от магазините за приложения заради неспазване на разпоредбите.
Pinduoduo не фигурира в нито един от тези списъци.
CNN се обърна за коментар към Министерството на промишлеността и информационните технологии и Администрацията за киберпространството на Китай.
В китайските социални медии някои експерти по киберсигурност поставиха въпроса защо регулаторите не са предприели никакви действия.
"Вероятно никой от нашите регулатори не може да разбира от кодиране и програмиране, нито пък разбира от технологии. Дори не можеш да разбереш зловредния код, когато ти го бутнат точно пред лицето", написа миналата седмица експерт по киберсигурност с 1,8 млн. последователи във вирусен пост в Weibo, платформа, подобна на Twitter.
