Т ова е едно от най-популярните приложения за пазаруване в Китай, което продава дрехи, хранителни стоки и почти всичко останало под слънцето на повече от 750 милиона потребители месечно.

Но според изследователи в областта на киберсигурността то може също така да заобикаля защитата на мобилните телефони на потребителите, за да следи дейностите в други приложения, да проверява известия, да чете лични съобщения и да променя настройки.

А веднъж инсталирана, тя трудно се премахва.

Въпреки че много приложения събират огромни масиви от потребителски данни, понякога без изрично съгласие, експертите твърдят, че гигантът в електронната търговия Pinduoduo е издигнал нарушаването на неприкосновеността на личния живот и сигурността на данните на следващо ниво.

В рамките на подробно разследване CNN разговаря с половин дузина екипи по киберсигурност от Азия, Европа и САЩ, както и с множество бивши и настоящи служители на Pinduoduo, след като получи сигнал.

Множество експерти установиха наличието на зловреден софтуер в приложението Pinduoduo, който използва уязвимости в операционните системи Android. Вътрешни за компанията лица заявиха, че експлойтите са били използвани за шпиониране на потребители и конкуренти, уж за да се увеличат продажбите.

"Досега не сме виждали подобно масово приложение, което да се опитва да увеличи привилегиите си, за да получи достъп до неща, до които не би трябвало да има достъп", заяви Микко Хиппонен, главен изследовател във WithSecure, финландска фирма за киберсигурност.

Зловреден софтуер, съкратено от злонамерен софтуер, се отнася до всеки софтуер, разработен с цел кражба на данни или намеса в работата на компютърни системи и мобилни устройства.

Доказателствата за наличието на сложен зловреден софтуер в приложението Pinduoduo идват на фона на интензивния контрол върху разработените в Китай приложения като TikTok поради опасения за сигурността на данните.

Някои американски законодатели настояват за национална забрана на популярното приложение за кратки видеоклипове, чийто главен изпълнителен директор Шоу Чу беше разпитван в продължение на пет часа от Конгреса миналата седмица за отношенията му с китайското правителство.

Разкритията вероятно ще привлекат повече внимание и към международното сестринско приложение на Pinduoduo, Temu, което оглавява класациите за изтегляне в САЩ и бързо се разпространява на други западни пазари. И двете са собственост на листнатата на Nasdaq PDD, мултинационална компания с корени в Китай.

Въпреки че Temu не е замесено, предполагаемите действия на Pinduoduo рискуват да хвърлят сянка върху глобалното разрастване на сестринското приложение.

Няма доказателства, че Pinduoduo е предала данни на китайското правителство. Но тъй като Пекин се ползва със значително влияние върху предприятията под негова юрисдикция, има опасения от страна на американските законодатели, че всяка компания, работеща в Китай, може да бъде принудена да сътрудничи в широк кръг от дейности в областта на сигурността.

Констатациите следват спирането на Pinduoduo от Google Play Store през март, като се позовават на открит зловреден софтуер във версии на приложението.

В последвалия доклад на Bloomberg се казва, че руска фирма за киберсигурност също е идентифицирала потенциален зловреден софтуер в приложението.

Преди това Pinduoduo отхвърли "спекулациите и обвиненията, че приложението Pinduoduo е злонамерено".

Възход към успеха

Pinduoduo, която може да се похвали с потребителска база, представляваща три четвърти от онлайн населението на Китай, и с пазарна стойност, три пъти по-голяма от тази на eBay (EBAY), не винаги е била гигант в онлайн пазаруването.

Основан през 2015 г. в Шанхай от Колин Хуанг, бивш служител на Google, стартъпът се бореше да се наложи на пазар, отдавна доминиран от водещите компании за електронна търговия Alibaba (BABA) и JD.com (JD).

Тя успя да постигне успех, като предлагаше големи отстъпки за поръчки за групово пазаруване на приятели и семейства и се съсредоточи върху селските райони с по-ниски доходи.

Pinduoduo отбеляза трицифрен ръст на месечните си потребители до края на 2018 г., годината, в която се листна на борсата в Ню Йорк. До средата на 2020 г. обаче увеличението на месечните потребители се забави до около 50% и ще продължи да намалява, според отчетите за приходите на компанията.

Според настоящ служител на Pinduoduo именно през 2020 г. компанията е създала екип от около 100 инженери и продуктови мениджъри, които да търсят уязвимости в телефоните с Android, да разработват начини за използването им - и да превръщат това в печалба.

Източникът, пожелал анонимност поради страх от репресии, първоначално компанията се е насочила само към потребители в селските райони и по-малките градове, като е избягвала потребителите в мегаполиси като Пекин и Шанхай.

"Целта е била да се намали рискът от разкриване", казва той.

Според източника чрез събиране на обширни данни за дейностите на потребителите компанията е успяла да създаде цялостен портрет на техните навици, интереси и предпочитания.

Това ѝ е позволило да подобри модела си за машинно обучение, за да предлага по-персонализирани push известия и реклами, привличайки потребителите да отворят приложението и да направят поръчки, казаха те.

Екипът е бил разформирован в началото на март, допълва източникът, след като са излезли наяве въпроси за дейността му.

Какво откриха експертите

Потърсени от CNN, изследователи от базираната в Тел Авив киберфирма Check Point Research, базирания в Делауеър стартъп за сигурност на приложенията Oversecured и WithSecure на Хипонен извършиха независим анализ на версията 6.49.0 на приложението, пусната в китайските магазини за приложения в края на февруари.

Google Play не е достъпен в Китай и потребителите на Android в страната изтеглят приложенията си от местните магазини. През март, когато Google спря Pinduoduo, тя заяви, че е открила зловреден софтуер във версиите на приложението извън Play.

Изследователите откриха код, предназначен за постигане на "повишаване на привилегиите": вид кибератака, която използва уязвима операционна система, за да получи по-високо ниво на достъп до данни, отколкото се предполага, че има, според експертите.

Приложението в България, което спасява животи

"Екипът ни направи обратен инженеринг на този код и можем да потвърдим, че той се опитва да ескалира правата, опитва се да получи достъп до неща, които нормалните приложения не биха могли да правят на телефони с Android", каза Хиппонен.

Приложението е можело да продължи да работи във фонов режим и да предотврати деинсталирането си, което му е позволило да увеличи процента на месечните си активни потребители, каза Хипхонен. То е имало и възможност да шпионира конкурентите си, като е проследявало активността на други приложения за пазаруване и е получавало информация от тях, добави той.

Check Point Research допълнително идентифицира начини, по които приложението е било в състояние да избегне проверката.

Приложението е използвало метод, който му е позволявал да изпраща актуализации без процеса на преглед в магазина за приложения, предназначен за откриване на злонамерени приложения, заявиха изследователите.

Те също така са идентифицирали в някои приставки намерението да се прикрият потенциално злонамерени компоненти, като се скрият под легитимни имена на файлове, като например тези на Google.

"Такава техника се използва широко от разработчиците на зловреден софтуер, които инжектират зловреден код в приложения, които имат легитимна функционалност", казаха те.

Андроид е мишена

В Китай около три четвърти от потребителите на смартфони са със системата Android. Според Даниел Айвс от Wedbush Securities iPhone на Apple (AAPL) има 25% пазарен дял.

Сергей Тошин, основател на Oversecured, заяви, че злонамереният софтуер на Pinduoduo е бил специално насочен към различни операционни системи, базирани на Android, включително тези, използвани от Samsung, Huawei, Xiaomi и Oppo.

Тошин описа Pinduoduo като "най-опасния зловреден софтуер", откриван някога сред масовите приложения.

"Никога досега не съм виждал подобно нещо. Това е нещо като супер експанзия", каза той.

Това са най-теглените мобилни приложения на десетилетието

Повечето производители на телефони в световен мащаб персонализират основния софтуер на Android - Android Open Source Project (AOSP), за да добавят уникални функции и приложения към собствените си устройства.

Тошин установи, че Pinduoduo е използвал около 50 уязвимости на системата Android. Повечето от експлойтите са били пригодени за персонализирани части, известни като код на производителя на оригинално оборудване (OEM), който обикновено се одитира по-рядко от AOSP и следователно е по-податлив на уязвимости, каза той.

Pinduoduo също така експлоатира редица уязвимости на AOSP, включително една, която е била сигнализирана от Тошин на Google през февруари 2022 г. Google е отстранила грешката през март тази година, каза той.

Според Тошин те са позволили на Pinduoduo достъп до местоположението на потребителите, контактите, календарите, известията и фотоалбумите им без тяхното съгласие. Освен това те са могли да променят системните настройки и да получат достъп до акаунтите на потребителите в социалните мрежи и до чатовете им, каза той.

От шестте екипа, с които CNN разговаря за този материал, три не са извършили пълни проверки. Но техните първични прегледи показаха, че Pinduoduo е поискал голям брой разрешения извън нормалните функции на едно приложение за пазаруване.

Те включваха "потенциално инвазивни разрешения" като "задаване на тапет" и "изтегляне без известие", каза Рене Майрхофер, ръководител на Института за мрежи и сигурност в университета "Йоханес Кеплер" в Линц, Австрия.

Подозренията за наличие на зловреден софтуер в приложението на Pinduoduo бяха повдигнати за първи път в края на февруари в доклад на китайската фирма за киберсигурност Dark Navy. Въпреки че в анализа не се споменава директно името на гиганта в пазаруването, докладът се разпространи бързо сред други изследователи, които назоваха компанията. Някои от анализаторите последваха със собствени доклади, потвърждаващи първоначалните констатации.

На следващия ден членовете на екипа се оказали блокирани в приложението за комуникация на работното място, разработено по поръчка на Pinduoduo, Knock, и загубили достъп до файлове във вътрешната мрежа на компанията. Инженерите също така открили, че достъпът им до големи данни, информационни листове и системата за регистриране на данни е отнет, казва източникът.

По-голямата част от екипа е прехвърлена на работа в Temu. Според източника те са били разпределени в различни отдели на дъщерното дружество, като някои от тях са работили по маркетинга или са разработвали push нотификации.

Основна група от около 20 инженери по киберсигурност, които са специализирани в откриването и използването на уязвимости, остава в Pinduoduo, казаха те.

Тошин от Oversecured, който разгледа актуализацията, заяви, че въпреки че експлойтите са били премахнати, основният код все още е бил налице и е можел да бъде активиран отново за извършване на атаки.

Провал на надзора

Pinduoduo успя да увеличи потребителската си база на фона на регулаторните мерки на китайското правителство срещу големите технологии, които започнаха в края на 2020 г.

През същата година Министерството на промишлеността и информационните технологии започна мащабна репресия срещу приложения, които незаконно събират и използват лични данни. През 2021 г. Пекин прие първото си всеобхватно законодателство за защита на личните данни.

Законът за защита на личните данни постановява, че никоя страна не трябва да събира, обработва или предава незаконно лични данни. Също така им е забранено да използват уязвимости в сигурността, свързани с интернет, или да участват в действия, които застрашават киберсигурността.

Очевидният зловреден софтуер на Pinduoduo би бил нарушение на тези закони, твърдят експерти по техническа политика, и е трябвало да бъде открит от регулатора.

"Това би било неудобно за Министерството на промишлеността и информационните технологии, защото това е тяхна работа", казва Кендра Шефер, експерт по технологична политика в консултантската компания Trivium China. "Те трябва да проверяват Pinduoduo и фактът, че не са открили (нищо), е смущаващ за регулатора".

Министерството редовно публикува списъци, в които назовава и засрамва приложения, за които е установено, че нарушават неприкосновеността на личния живот на потребителите или други права. То публикува и отделен списък на приложенията, които са премахнати от магазините за приложения заради неспазване на разпоредбите.

Pinduoduo не фигурира в нито един от тези списъци.

 

CNN се обърна за коментар към Министерството на промишлеността и информационните технологии и Администрацията за киберпространството на Китай.

В китайските социални медии някои експерти по киберсигурност поставиха въпроса защо регулаторите не са предприели никакви действия.

"Вероятно никой от нашите регулатори не може да разбира от кодиране и програмиране, нито пък разбира от технологии. Дори не можеш да разбереш зловредния код, когато ти го бутнат точно пред лицето", написа миналата седмица експерт по киберсигурност с 1,8 млн. последователи във вирусен пост в Weibo, платформа, подобна на Twitter.

Обратно в сайта X

ДОСТЪП ЗА ЛОГНАТИ ПОТРЕБИТЕЛИ За да пишете, оценявате или докладвате коментари, моля логнете се в профила си.

  1. Запомни ме
забравена парола Полетата маркирани с * са задължителни
Полето Потребителско име не трябва да е празно.
Полето E-mail не трябва да е празно.
Полето Парола не трябва да е празно.
Полето Повторете паролата не трябва да е празно.
  1. Декларирам, че съм се запознал с Общите условия за ползване на услугите на Нетинфо.
Полетата маркирани с * са задължителни
​Украйна атакува руски петролни обекти с дронове: Пожари избухнаха в Краснодарския край и Ростовска област

​Украйна атакува руски петролни обекти с дронове: Пожари избухнаха в Краснодарския край и Ростовска област

Свят Преди 15 минути

Украински безпилотни летателни апарати са причинили пожари в нефтопреработвателен завод в Краснодарския край и в два обекта за съхранение на нефтопродукти в Ростовска област, съобщиха руските власти

.

„История за секс, стратегия и власт“: Как жените оформят сюжета на „Одисея“

Любопитно Преди 19 минути

Новият филмов хит на Кристофър Нолан ни връща към 2800-годишната поема за Одисей. Вижте защо великият войн е бил напълно безпомощен без хитростта на Атина, Пенелопа и Цирцея и какви психологически травми крие епосът

Супертайфунът „Бави“ връхлита Япония: Очакват се хаос и разрушения

Супертайфунът „Бави“ връхлита Япония: Очакват се хаос и разрушения

Свят Преди 49 минути

Мощната буря с ветрове от 162 км/ч приближава островите Сакишима, а властите предупреждават за наводнения и свлачища

Експерт: Връзката между осигуровките и размера на пенсията е отслабена

Експерт: Връзката между осигуровките и размера на пенсията е отслабена

Парите ни Преди 1 час

Проф. Богомил Манов предлага по-прозрачна формула, автоматични стабилизатори и ясно разделяне между пенсия и социална подкрепа

Трети ден без следа от шефа на хлебозавод в Павликени

Трети ден без следа от шефа на хлебозавод в Павликени

България Преди 1 час

В мащабната операция участват полиция, жандармерия, военни формирования, водолази и десетки доброволци

"Това е безобразие": Цончо Ганев призова за спиране на ПУП-а за Борисовата градина

"Това е безобразие": Цончо Ганев призова за спиране на ПУП-а за Борисовата градина

България Преди 1 час

Депутатът от „Възраждане“ твърди, че планът създава риск за територии в парка, а Столичната община защитава проекта

Пожари, агресия и страх около пл. „Гарибалди“: Работещи алармират за хаос с бездомни хора

Пожари, агресия и страх около пл. „Гарибалди“: Работещи алармират за хаос с бездомни хора

България Преди 1 час

Работещи в района твърдят, че има случаи на агресия, употреба на забранени вещества и нарушения на обществения ред

На първо четене: НС обсъжда проектобюджета на ДОО за 2026 г.

На първо четене: НС обсъжда проектобюджета на ДОО за 2026 г.

България Преди 1 час

В пленарната зала е министърът на труда и социалната политика Наталия Ефремова и управителят на НОИ Весела Караиванова-Начева

,

Голям църковен празник: Кои светци почитаме днес

България Преди 1 час

Днес се прекланяме пред подвига на 45-те християни, загинали мъченически за вярата си в древния град Никопол Арменски през IV век. Църквата почита и преподобния Антоний Печерски, основал една от най-значимите лаври в християнския свят

Близо 4000 жертви след земетресенията във Венецуела

Близо 4000 жертви след земетресенията във Венецуела

Свят Преди 1 час

Властите предупреждават, че възстановяването на засегнатите райони ще бъде изключително трудно

Honor увеличава фокуса си върху смарт часовниците

Honor увеличава фокуса си върху смарт часовниците

Технологии Преди 2 часа

Китайската компания представи в България новия Watch 6, който е нейният флагман при умните часовници. Заедно с него Honor показа и сгъваемия смартфон Magic V6, който акцентира над тънкия дизайн и подобрените спецификации с повече здравина и мощност

"Добре дошла, Миа": Катрин Тасева стана майка на момиченце

"Добре дошла, Миа": Катрин Тасева стана майка на момиченце

Любопитно Преди 2 часа

Бившата гимнастичка съобщи, че семейството ѝ вече е четиричленно

Смъртоносна стихия в Испания - горски пожар отне 12 живота

Смъртоносна стихия в Испания - горски пожар отне 12 живота

Свят Преди 2 часа

Някои от жертвите са открити в автомобили, докато спасителните екипи продължават борбата с огъня

Обвинения за тероризъм след осуетен план за атака срещу ММА галавечерта в Белия дом

Обвинения за тероризъм след осуетен план за атака срещу ММА галавечерта в Белия дом

Свят Преди 2 часа

Федералните власти твърдят, че обвиняемите са събирали оръжия, дронове, боеприпаси и оборудване, за да извършат нападението

<p>САЩ връщат американските войски в Полша</p>

САЩ планират отново да разположат около 10 000 войници в Полша

Свят Преди 3 часа

Полските власти съобщиха, че след временното спиране на ротацията американското военно присъствие ще надхвърли 10 000 души

Ескалация в Лвов: Тълпа обърна автомобил на мобилизационни служители

Ескалация в Лвов: Тълпа обърна автомобил на мобилизационни служители

Свят Преди 3 часа

Прокуратурата разследва инцидент, при който група хора е нападнала служители по мобилизацията и е преобърнала автомобила им, а впоследствие са избухнали сблъсъци с полицията и военни