Είναι μια από τις πιο δημοφιλείς εφαρμογές ηλεκτρονικών αγορών της Κίνας, που πουλά ρούχα, είδη παντοπωλείου και σχεδόν οτιδήποτε άλλο, σε περισσότερους από 750 εκατομμύρια χρήστες το μήνα.
Ωστόσο, σύμφωνα με ερευνητές κυβερνοασφάλειας, μπορεί επίσης να παρακάμψει την ασφάλεια των κινητών τηλεφώνων των χρηστών για να παρακολουθεί δραστηριότητες σε άλλες εφαρμογές, να ελέγχει ειδοποιήσεις, να διαβάζει προσωπικά μηνύματα και να αλλάζει ρυθμίσεις.
Και μόλις εγκατασταθεί, είναι δύσκολο να αφαιρεθεί.
Ενώ πολλές εφαρμογές συλλέγουν τεράστιους όγκους δεδομένων χρηστών, μερικές φορές χωρίς ρητή συναίνεση, οι ειδικοί λένε ότι ο γίγαντας του ηλεκτρονικού εμπορίου Pinduoduo έχει προχωρήσει τις παραβιάσεις του απορρήτου και της ασφάλειας των δεδομένων στο επόμενο επίπεδο.
Σε μια λεπτομερή έρευνα, το CNNi μίλησε με καμιά δεκαριά ομάδες κυβερνοασφάλειας από την Ασία, την Ευρώπη και τις Ηνωμένες Πολιτείες – καθώς και με πολλούς πρώην και νυν υπαλλήλους του Pinduoduo – αφού έλαβε μια πληροφορία.
Οι υποψίες για κακόβουλο λογισμικό στην εφαρμογή του Pinduoduo τέθηκαν για πρώτη φορά στα τέλη Φεβρουαρίου σε μια αναφορά μιας κινεζικής εταιρείας κυβερνοασφάλειας που ονομάζεται Dark Navy.
Μια αναφορά που ακολούθησε από το Bloomberg ανέφερε ότι μια ρωσική εταιρεία κυβερνοασφάλειας είχε επίσης εντοπίσει πιθανό κακόβουλο λογισμικό στην εφαρμογή, κάτι το οποίο το Pinduoduo απέρριψε.
Το CNNi έχει επικοινωνήσει με την PDD πολλές φορές μέσω email και τηλεφώνου για σχολιασμό, αλλά δεν έχει λάβει απάντηση.
Πολλοί ειδικοί εντόπισαν την παρουσία κακόβουλου λογισμικού στην εφαρμογή που εκμεταλλευόταν ευπάθειες στα λειτουργικά συστήματα Android. Εργαζόμενοι της εταιρείας είπαν ότι τα λογισμικά αυτά χρησιμοποιήθηκαν για την κατασκοπεία χρηστών και ανταγωνιστών, προκειμένου να αυξήσουν τις πωλήσεις.
«Δεν έχουμε δει μια mainstream εφαρμογή όπως αυτή να προσπαθεί να αυξήσει τα προνόμιά της για να αποκτήσει πρόσβαση σε πράγματα στα οποία δεν έπρεπε να έχουν πρόσβαση», δήλωσε ο Mikko Hyppönen, επικεφαλής ερευνητής στη WithSecure, μια φινλανδική εταιρεία κυβερνοασφάλειας.
«Αυτό είναι πολύ ασυνήθιστο και είναι αρκετά καταδικαστικό για το Pinduoduo», πρόσθεσε.
Το κακόβουλο λογισμικό αναφέρεται σε οποιοδήποτε λογισμικό που έχει αναπτυχθεί για την κλοπή δεδομένων ή την παρέμβαση σε συστήματα υπολογιστών και φορητές συσκευές.
Τα στοιχεία περί εξελιγμένου κακόβουλου λογισμικού στην εφαρμογή Pinduoduo έρχονται εν μέσω έντονου ελέγχου εφαρμογών που έχουν αναπτυχθεί από την Κίνα όπως το TikTok όπου υπάρχουν ανησυχίες σχετικά με την ασφάλεια των δεδομένων.
Ορισμένοι Αμερικανοί βουλευτές πιέζουν για εθνική απαγόρευση της δημοφιλούς εφαρμογής βίντεο μικρού μήκους, της οποίας ο Διευθύνων Σύμβουλος Shou Chew μιλούσε από το Κογκρέσο για πέντε ώρες την περασμένη εβδομάδα σχετικά με τις σχέσεις του με την κινεζική κυβέρνηση.
Οι αποκαλύψεις είναι επίσης πιθανό να τραβήξουν περισσότερη προσοχή στη διεθνή αδελφή εφαρμογή του Pinduoduo, Temu, η οποία βρίσκεται στην κορυφή των αμερικανικών γραφημάτων λήψης και επεκτείνεται γρήγορα σε άλλες δυτικές αγορές. Και οι δύο ανήκουν στην εισηγμένη στο Nasdaq PDD, μια πολυεθνική εταιρεία με ρίζες στην Κίνα.
Αν και το Temu δεν έχει εμπλακεί, οι υποτιθέμενες ενέργειες του Pinduoduo απειλούν να επισκιάσουν την παγκόσμια επέκταση της αδελφής του εφαρμογής.
Δεν υπάρχουν στοιχεία ότι το Pinduoduo έχει παραδώσει δεδομένα στην κινεζική κυβέρνηση. Καθώς όμως το Πεκίνο απολαμβάνει σημαντική μόχλευση στις επιχειρήσεις που υπάγονται στη δικαιοδοσία του, Αμερικανοί βουλευτές ανησυχούν ότι οποιαδήποτε εταιρεία δραστηριοποιείται στην Κίνα θα μπορούσε να αναγκαστεί να συνεργαστεί με ένα ευρύ φάσμα δραστηριοτήτων ασφάλειας.
Σύσταση εκατονταμελούς ομάδας από την εταιρεία
Ήταν το 2020, σύμφωνα με έναν νυν υπάλληλο του Pinduoduo, που η εταιρεία δημιούργησε μια ομάδα περίπου 100 μηχανικών και διαχειριστών προϊόντων για να αναζητήσουν ευπάθειες σε τηλέφωνα Android, να αναπτύξουν τρόπους για να τις εκμεταλλευτούν — και να το μετατρέψουν σε κέρδος.
Σύμφωνα με την πηγή, η οποία ζήτησε να παραμείνει ανώνυμη, η εταιρεία στόχευε αρχικά μόνο χρήστες σε αγροτικές περιοχές και μικρότερες πόλεις, ενώ απέφευγε χρήστες σε μεγαλουπόλεις όπως το Πεκίνο και η Σαγκάη.
Συλλέγοντας εκτεταμένα δεδομένα για τις δραστηριότητες των χρηστών, η εταιρεία κατάφερε να δημιουργήσει ένα ολοκληρωμένο πορτρέτο των συνηθειών, των ενδιαφερόντων και των προτιμήσεων των χρηστών, σύμφωνα με την πηγή.
Αυτό της επέτρεψε να βελτιώσει το μοντέλο μηχανικής εκμάθησης για να προσφέρει πιο εξατομικευμένες ειδοποιήσεις push και διαφημίσεις, προσελκύοντας τους χρήστες να ανοίξουν την εφαρμογή και να κάνουν παραγγελίες, είπαν.
Στις 5 Μαρτίου το Pinduoduo εξέδωσε μια νέα ενημέρωση της εφαρμογής της, από την οποία αφαίρεσε το κακόβουλο λογισμικό, σύμφωνα με δύο ειδικούς με τους οποίους μίλησε το CNNi.
Δύο μέρες αργότερα η ομάδα διαλύθηκε αφού ήρθαν στο φως ερωτήσεις σχετικά με τις δραστηριότητές τους. Παράληλλα η Google ανέστειλε το Pinduoduo από το Play Store της τον Μάρτιο, επικαλούμενη το κακόβουλο λογισμικό που εντοπίστηκε σε εκδόσεις της εφαρμογής. Παρόλα αυτά η εταιρεία είπε ότι βρήκε κακόβουλο λογισμικό σε εκδόσεις εκτός Play Store της εφαρμογής, μετά την αναστολή του.
Το Google Play δεν είναι διαθέσιμο στην Κίνα και οι χρήστες Android στη χώρα κατεβάζουν τις εφαρμογές τους από τοπικά καταστήματα.
Κατασκοπεία ανταγωνιστών
Οι ερευνητές βρήκαν κώδικα σχεδιασμένο για την επίτευξη «κλιμάκωσης προνομίων»: ένας τύπος κυβερνοεπίθεσης που εκμεταλλεύεται ένα ευάλωτο λειτουργικό σύστημα για να αποκτήσει υψηλότερο επίπεδο πρόσβασης στα δεδομένα από αυτό που υποτίθεται ότι έχει, σύμφωνα με τους ειδικούς.
Η εφαρμογή ήταν σε θέση να συνεχίζει να εκτελείται στο παρασκήνιο αποτρέποντας την απεγκατάσταση της, γεγονός που της επέτρεψε να αυξήσει τα μηνιαία ποσοστά ενεργών χρηστών. Είχε επίσης τη δυνατότητα να κατασκοπεύει ανταγωνιστές παρακολουθώντας τη δραστηριότητα σε άλλες εφαρμογές αγορών και λαμβάνοντας πληροφορίες από αυτούς.
Το Check Point Research εντόπισε επιπλέον τρόπους με τους οποίους η εφαρμογή μπόρεσε να αποφύγει τον έλεγχο.
Στην Κίνα, περίπου τα τρία τέταρτα των χρηστών smartphone χρησιμοποιούν σύστημα Android. Το κακόβουλο λογισμικό του Pinduoduo στόχευε συγκεκριμένα διαφορετικά λειτουργικά συστήματα που βασίζονται σε Android, συμπεριλαμβανομένων εκείνων που χρησιμοποιούν οι Samsung, Huawei, Xiaomi και Oppo.
Διαπιστώθηκε ότι το Pinduoduo είχε εκμεταλλευτεί περίπου 50 ευπάθειες του συστήματος Android. Το κακόβουλο λογισμικό επέτρεψε στο Pinduoduo να έχει πρόσβαση στις τοποθεσίες, τις επαφές, τα ημερολόγια, τις ειδοποιήσεις και τα άλμπουμ φωτογραφιών των χρηστών χωρίς τη συγκατάθεσή τους. Μπόρεσαν επίσης να αλλάξουν τις ρυθμίσεις συστήματος και να αποκτήσουν πρόσβαση στους λογαριασμούς και τις συνομιλίες κοινωνικών δικτύων των χρηστών.
Οι αρχικές αξιολογήσεις έδειξαν ότι το Pinduoduo ζητούσε μεγάλο αριθμό αδειών πέρα από τις κανονικές λειτουργίες μιας εφαρμογής αγορών.
Το Pinduoduo μπόρεσε να αυξήσει τη βάση χρηστών του παρά την εκστρατεία του υπουργείου Βιομηχανίας και Πληροφορικής το 2020 για την καταστολή των εφαρμογών που συλλέγουν και χρησιμοποιούν παράνομα προσωπικά δεδομένα.
Το Πεκίνο ψήφισε την πρώτη του ολοκληρωμένη νομοθεσία περί απορρήτου δεδομένων το 2021.
