Radi se o jednoj od najpopularnijih aplikacija za kupovinu u Kini, koja prodaje odjeću, namirnice i skoro sve ostale vrste artikala, a koristi je više od 750 miliona korisnika mjesečno. Šta ovu aplikaciju čini posebnom, prema IT stručnjacima, jeste to što ona ima mogućnost da “zaobiđe” sigurnost korisnika mobitela, kako bi pratila aktivnosti na drugim aplikacijama, provjeravala obavijesti, čitala privatne poruke i mijenjala postavke. A jednom kad je instalirate, teško ju je ukloniti.

Iako mnoge aplikacije prikupljaju ogromne količine korisničkih podataka, ponekad bez jasnog pristanka, stručnjaci tvrde da je aplikacija Pinduoduo podigla kršenja privatnosti i sigurnosti podataka na viši nivo.

U detaljnoj istrazi, CNN je razgovarao s timova za kibernetičku sigurnost iz Azije, Europe i Sjedinjenih Država, kao i s više bivših i sadašnjih zaposlenika Pinduodua-

Više stručnjaka identificiralo je prisutnost zlonamjernog softvera u aplikaciji Pinduoduo koji je iskorištavao “rupe” u Androidovim operativnim sistemima. Insajderi kompanije rekli su da su eksploatacije korištene za špijuniranje korisnika i konkurenata, navodno za povećanje prodaje.

“Nismo vidjeli da mainstream aplikacija poput ove pokušava povećati privilegije kako bi dobili pristup stvarima kojima ne bi trebali dobiti pristup”, rekao je Mikko Hyppönen, glavni istraživač u WithSecureu, finskoj firmi za kibernetičku sigurnost.

Malware, skraćenica za zlonamjerni softver, odnosi se na bilo koji softver razvijen za krađu podataka ili ometanje računarskih sistema i mobilnih uređaja. Dokazi o sofisticiranom zlonamjernom softveru u aplikaciji Pinduoduo dolaze usred intenzivnog nadzora kineskih aplikacija poput TikToka zbog zabrinutosti oko sigurnosti podataka.

Ovo otkriće će također vjerovatno skrenuti više pažnje na međunarodnu sestrinsku aplikaciju Pinduodua, Temu, koja je na vrhu američkih ljestvica preuzimanja i brzo se širi na drugim zapadnim tržištima. Oba su u vlasništvu PDD-a, multinacionalne firme s korijenima u Kini.

Iako Temu nije upleten, navodne radnje Pinduodua mogle bi baciti sjenu na globalno širenje ove sestrinske aplikacije.

Ne postoje dokazi da je Pinduoduo predao podatke kineskoj vladi, ali budući da Peking ima značajan utjecaj na kompanije pod svojom jurisdikcijom, postoje zabrinutosti američkih zakonodavaca da bi svaka firma koja posluje u Kini mogla biti prisiljena surađivati u širokom rasponu sigurnosnih aktivnosti.

Ova otkrića uslijedila su nakon Googleove suspenzije Pinduoduoa iz Play trgovine u martu, što je pojašnjeno prisustvom zlonamjernog softvera identificiranog u verzijama aplikacije.

Bloombergov izvještaj koji je uslijedio upozorio je da je ruska kompanija za kibernetičku sigurnost također identificirala potencijalni zlonamjerni softver u aplikaciji.

Pinduoduo je prethodno odbacio “špekulacije i optužbe da je aplikacija Pinduoduo zlonamjerna”.

CNN je više puta kontaktirao PDD putem e-maila i telefona za komentar, ali nije dobio odgovor.

Uspon do uspjeha

Pinduoduo, koji se može pohvaliti ogromnom bazom korisnika, čini tri četvrtine internetske populacije u Kini i tržišnom vrijednošću tri puta većom od eBaya (EBAY).

Osnovan 2015. godine u Šangaju od Colina Huanga, bivšeg Googleovog zaposlenika, startup se borio da se etablira na tržištu kojim su dugo dominirali e-commerce divovi Alibaba (BABA) i JD.com (JD).

Uspio je nudeći velike popuste na grupne narudžbe i fokusirajući se na ruralna područja s nižim prihodima.

Prema izvoru, koji je želio ostati anoniman zbog straha od odmazde,kompanija je u početku ciljala samo na korisnike u ruralnim područjima i manjim gradovima, dok je izbjegavala korisnike u velegradovima kao što su Peking i Šangaj.

“Cilj je bio smanjiti rizik od izlaganja”, rekao je izvor.

Prikupljanjem opsežnih podataka o aktivnostima korisnika, tvrtka je uspjela stvoriti sveobuhvatan portret navika, interesa i preferencija korisnika, tvrdi isti izvor, što je aplikaciji omogućilo da poboljša svoj model i presonaliziranu ponudu putem push obavijesti i oglasa, privlačeći korisnike da otvore aplikaciju i šalju narudžbe.

Šta su stručnjaci otkrili

U kontaktu s CNN-om, istraživači iz cyber kompanije Check Point Research sa sjedištem u Tel Avivu, startupa za sigurnost aplikacija Oversecured iz Delawarea i Hyppönenov WithSecure proveli su neovisnu analizu 6.49.0 verzije aplikacije, objavljene u kineskim trgovinama aplikacija krajem februara.

Google Play nije dostupan u Kini, a korisnici Androida u toj zemlji svoje aplikacije preuzimaju iz lokalnih online trgovina. U martu, kada je Google suspendirao Pinduoduo, rečeno je da je pronađen zlonamjerni softver u verzijama aplikacije izvan Playa.

Istraživači su pronašli kod dizajniran za postizanje “povećanja ovlasti”: vrsta kibernetičkog napada koji iskorištava ranjivi operativni sistem kako bi dobio viši nivo pristupa podacima od one koju bi trebao imati, pojašnjavaju stručnjaci.

“Naš tim je napravio obrnuti inženjering tog koda i možemo potvrditi da pokušava mijenjati prava, pokušava dobiti pristup stvarima koje normalne aplikacije ne bi mogle raditi na Android telefonima”, rekao je Hyppönen.

Aplikacija je mogla nastaviti raditi u pozadini i spriječiti deinstalaciju, što joj je omogućilo povećanje mjesečnih stopa aktivnih korisnika, rekao je Hyppönen. Također je imala mogućnost špijuniranja konkurencije praćenjem aktivnosti na drugim aplikacijama za kupnju i dobivanjem informacija od njih, dodao je.

Android ciljano pogođen

U Kini je oko tri četvrtine korisnika pametnih telefona na Android sistemu. Apple (AAPL) iPhone ima 25% tržišnog udjela, prema Danielu Ivesu iz Wedbush Securities.

Sergey Toshin, osnivač firme Oversecured, rekao je da Pinduoduov zlonamjerni softver cilja na različite operativne sisteme temeljene na Androidu, uključujući one koje koriste Samsung, Huawei, Xiaomi i Oppo.

CNN je kontaktirao te firme za komentar.

Toshin je opisao Pinduoduo kao “najopasniji zlonamjerni softver” ikada pronađen među mainstream aplikacijama.

“Nikad prije nisam vidio ovako nešto. To je kao, super ekspanzivno”, rekao je.

Većina proizvođača telefona globalno prilagođava temeljni Android softver, Android Open Source Project (AOSP), kako bi svojim uređajima dodali jedinstvene značajke i aplikacije.

Toshin je otkrio da je Pinduoduo iskoristio oko 50 “rupa” u Android sistemima. Većina eksploatacija napravljena je po mjeri za prilagođene dijelove poznate kao kod proizvođača originalne opreme (OEM), koji se rjeđe revidira od AOSP-a i stoga je skloniji ranjivostima, rekao je.

Prema Toshinu, eksploatacije su omogućile Pinduoduu pristup lokacijama, kontaktima, kalendarima, obavijestima i foto albumima korisnika bez njihovog pristanka. Također su mogli promijeniti postavke sistema i pristupiti korisničkim računima i chatovima na društvenim mrežama, rekao je.

Neuspješan nadzor i cenzura

Pinduoduo je uspio povećati svoju korisničku bazu u pozadini regulatornog pritiska kineske vlade na Big Tech koji je započeo krajem 2020.

Ove godine je Ministarstvo industrije i informacijske tehnologije pokrenulo opsežnu akciju protiv aplikacija koje nezakonito prikupljaju i koriste osobne podatke.

Godine 2021. Peking je donio svoj prvi sveobuhvatni zakon o privatnosti podataka.

Zakon o zaštiti osobnih podataka propisuje da nitko ne smije nezakonito prikupljati, obrađivati ili prenositi osobne podatke. Također im je zabranjeno iskorištavanje sigurnosnih propusta povezanih s internetom ili sudjelovanje u radnjama koje ugrožavaju kibernetičku sigurnost.

Pinduoduov očiti zlonamjerni softver predstavljao bi kršenje tih zakona, kažu stručnjaci za tehničku politiku, i trebao ga je otkriti regulator.

“To bi bilo neugodno za Ministarstvo industrije i informacijske tehnologije, jer je to njihov posao. Trebali bi provjeriti Pinduoduo, a činjenica da nisu pronašli (ništa) je neugodna za regulatora”, rekla je Kendra Schaefer, stručnjakinja za tehničku politiku u konzultantskoj firmi Trivium China.

Ministarstvo je redovno objavljivalo popise aplikacija za koje se utvrdi da su narušile privatnost korisnika ili druga prava. Također objavljuje zaseban popis aplikacija koje su uklonjene iz trgovina aplikacijama zbog neusklađenosti s propisima. Pinduoduo se nije pojavio ni na jednom popisu.

Na kineskim društvenim mrežama neki stručnjaci za kibernetičku sigurnost pitaju se zašto regulatori nisu ništa poduzeli.

“Vjerovatno nitko od naših regulatora ne može razumjeti kodiranje i programiranje, niti razumije tehnologiju. Ne možete ni razumjeti zlonamjerni kod kad vam ga gurnu ravno pred lice”, napisao je prošle sedmice stručnjak za kibernetičku sigurnost s 1,8 milouna pratitelja u viralnoj objavi na Weibu, platformi sličnoj Twitteru.

Post je sljedeći dan cenzuriran.