Është një nga aplikacionet më të njohura të blerjeve në Kinë, që shet veshje, sende ushqimore dhe pothuajse gjithçka tjetër nën diell për më shumë se 750 milionë përdorues në muaj.
Por sipas studiuesve të sigurisë kibernetike, ai gjithashtu mund të anashkalojë sigurinë e telefonit celular të përdoruesve për të monitoruar aktivitetet në aplikacione të tjera, të kontrollojë njoftimet, të lexojë mesazhe private dhe të ndryshojë cilësimet.
Dhe pasi të instalohet, është e vështirë të hiqet.
Ndërsa shumë aplikacione mbledhin sasi të mëdha të të dhënave të përdoruesve, ndonjëherë pa pëlqimin e qartë, ekspertët thonë se gjiganti i tregtisë elektronike Pinduoduo i ka çuar shkeljet e privatësisë dhe sigurisë së të dhënave në nivelin tjetër.
Në një hetim të detajuar, CNN foli me gjysmë duzinë ekipe të sigurisë kibernetike nga Azia, Evropa dhe Shtetet e Bashkuara – si dhe me shumë punonjës ish dhe aktualë të Pinduoduo – pasi mori një informatë.
Ekspertë të shumtë identifikuan praninë e malware në aplikacionin Pinduoduo që shfrytëzonte dobësitë në sistemet operative Android. Të brendshëm të kompanisë thanë se shfrytëzimet u përdorën për të spiunuar përdoruesit dhe konkurrentët, gjoja për të rritur shitjet.
“Ne nuk kemi parë një aplikacion të zakonshëm si ky që përpiqet të përshkallëzojë privilegjet e tyre për të fituar akses në gjëra në të cilat ata nuk supozohet të kenë akses,” tha Mikko Hyppönen, zyrtari kryesor i kërkimit në WithSecure, një firmë finlandeze e sigurisë kibernetike.
“Kjo është shumë e pazakontë dhe është shumë e frikshme për Pinduoduo.”
Kjo është shumë e pazakontë, dhe është goxha e frikshme për Pinduoduo.
Mikko Hyppönen, ekspert i sigurisë kibernetike
Malware, shkurtim i softuerit me qëllim të keq, i referohet çdo softueri të zhvilluar për të vjedhur të dhëna ose për të ndërhyrë në sistemet kompjuterike dhe pajisjet celulare.
Dëshmia e malware të sofistikuar në aplikacionin Pinduoduo vjen mes një shqyrtimi intensiv të aplikacioneve të zhvilluara nga Kina si TikTok mbi shqetësimet në lidhje me sigurinë e të dhënave.
Disa ligjvënës amerikanë po bëjnë presion për një ndalim kombëtar të aplikacionit popullor të videove të shkurtra, shefi ekzekutiv i të cilit Shou Chew u vu në skarë nga Kongresi për pesë orë javën e kaluar për marrëdhëniet e tij me qeverinë kineze.
Zbulimet gjithashtu ka të ngjarë të tërheqin më shumë vëmendjen tek aplikacioni ndërkombëtar simotër i Pinduoduo, Temu, i cili po kryeson tabelat e shkarkimeve në SHBA dhe po zgjerohet me shpejtësi në tregjet e tjera perëndimore. Të dyja janë në pronësi të PDD të listuar në Nasdaq, një kompani shumëkombëshe me rrënjë në Kinë.
Ndërsa Temu nuk është implikuar, veprimet e supozuara të Pinduoduo rrezikojnë të hedhin një hije mbi zgjerimin global të aplikacionit simotër të tij.
Nuk ka asnjë provë që Pinduoduo i ka dorëzuar të dhëna qeverisë kineze. Por duke qenë se Pekini gëzon ndikim të rëndësishëm mbi bizneset nën juridiksionin e tij, ka shqetësime nga ligjvënësit amerikanë se çdo kompani që operon në Kinë mund të detyrohet të bashkëpunojë me një gamë të gjerë aktivitetesh sigurie.
Gjetjet pasojnë pezullimin e Google të Pinduoduo nga Play Store në mars, duke përmendur malware të identifikuar në versionet e aplikacionit.
Një raport pasues nga Bloomberg tha se një firmë ruse e sigurisë kibernetike kishte identifikuar gjithashtu malware të mundshëm në aplikacion.
Pinduoduo ka hedhur poshtë më parë “spekulimet dhe akuzat se aplikacioni Pinduoduo është keqdashës”.
CNN ka kontaktuar me PDD disa herë përmes emailit dhe telefonit për koment, por nuk ka marrë përgjigje.
Ngrihuni drejt suksesit
Pinduoduo, i cili mburret me një bazë përdoruesish që përbën tre të katërtat e popullsisë në internet të Kinës dhe një vlerë tregu tre herë më të madhe se ajo e eBay (EBAY), nuk ishte gjithmonë një gjigant i blerjeve në internet.
E themeluar në vitin 2015 në Shangai nga Colin Huang, një ish-punonjës i Google, startup-i po luftonte për t’u vendosur në një treg të dominuar prej kohësh nga forcat e tregtisë elektronike Alibaba (BABA) dhe JD.com (JD).
Ai ia doli duke ofruar zbritje të mëdha për porositë e blerjeve të grupeve të miqve dhe familjes dhe duke u fokusuar në zonat rurale me të ardhura më të ulëta.
Pinduoduo postoi rritje treshifrore të përdoruesve mujorë deri në fund të 2018, vit që renditi në Nju Jork. Nga mesi i vitit 2020, megjithatë, rritja e përdoruesve mujor ishte ngadalësuar në rreth 50% dhe do të vazhdonte të bjerë, sipas raporteve të fitimeve të saj.
Ishte në vitin 2020, sipas një punonjësi aktual të Pinduoduo, që kompania ngriti një ekip prej rreth 100 inxhinierësh dhe menaxherësh produktesh për të gërmuar për dobësitë në telefonat Android, për të zhvilluar mënyra për t’i shfrytëzuar ato – dhe për ta kthyer atë në fitim.
Sipas burimit, i cili kërkoi anonimitetin nga frika e hakmarrjes, kompania synonte vetëm përdoruesit në zonat rurale dhe qytetet më të vogla fillimisht, duke shmangur përdoruesit në megaqytetet si Pekini dhe Shangai.
“Qëllimi ishte zvogëlimi i rrezikut për t’u ekspozuar,” thanë ata.
Duke mbledhur të dhëna të gjera mbi aktivitetet e përdoruesve, kompania ishte në gjendje të krijonte një portret gjithëpërfshirës të zakoneve, interesave dhe preferencave të përdoruesve, sipas burimit.
Kjo e lejoi atë të përmirësonte modelin e tij të mësimit të makinerive për të ofruar njoftime dhe reklama më të personalizuara, duke tërhequr përdoruesit të hapnin aplikacionin dhe të bënin porosi, thanë ata.
Ekipi u shpërbë në fillim të marsit, shtoi burimi, pasi dolën në dritë pyetjet rreth aktiviteteve të tyre.
Çfarë zbuluan ekspertët
Të afruar nga CNN, studiuesit nga firma kibernetike me bazë në Tel Aviv, Check Point Research, startup-i i sigurisë së aplikacioneve me bazë në Delaware, Oversecured dhe Hyppönen’s WithSecure kryen analiza të pavarura të versionit 6.49.0 të aplikacionit, të lëshuar në dyqanet e aplikacioneve kineze në fund të shkurtit.
Google Play nuk është i disponueshëm në Kinë dhe përdoruesit e Android në vend shkarkojnë aplikacionet e tyre nga dyqanet lokale. Në mars, kur Google pezulloi Pinduoduo, tha se kishte gjetur malware në versionet jashtë Play të aplikacionit.
Studiuesit gjetën kodin e krijuar për të arritur “përshkallëzimin e privilegjeve”: një lloj sulmi kibernetik që shfrytëzon një sistem operativ të cenueshëm për të fituar një nivel më të lartë aksesi në të dhëna sesa supozohet të ketë, sipas ekspertëve.
“Ekipi ynë e ka modifikuar atë kod dhe ne mund të konfirmojmë se ai përpiqet të përshkallëzojë të drejtat, përpiqet të fitojë akses në gjëra që aplikacionet normale nuk do të ishin në gjendje të bënin në telefonat Android,” tha Hyppönen.
Aplikacioni ishte në gjendje të vazhdonte të funksiononte në sfond dhe të parandalonte vetë çinstalimin, gjë që e lejoi atë të rriste tarifat mujore të përdoruesve aktivë, tha Hyppönen. Ai gjithashtu kishte aftësinë për të spiunuar konkurrentët duke ndjekur aktivitetin në aplikacionet e tjera të blerjeve dhe duke marrë informacion prej tyre, shtoi ai.
Check Point Research identifikoi gjithashtu mënyra në të cilat aplikacioni ishte në gjendje t’i shmangej shqyrtimit.
Aplikacioni vendosi një metodë që e lejonte atë të shtynte përditësimet pa një proces rishikimi të dyqanit të aplikacioneve që synonte të zbulonte aplikacionet me qëllim të keq, thanë studiuesit.
Ata gjithashtu identifikuan në disa shtojca qëllimin për të errësuar komponentët potencialisht me qëllim të keq duke i fshehur ato nën emrat e ligjshëm të skedarëve, të tillë si Google.
“Një teknikë e tillë përdoret gjerësisht nga zhvilluesit e malware që injektojnë kode me qëllim të keq në aplikacione që kanë funksionalitet legjitim,” thanë ata.
Android i synuar
Në Kinë, rreth tre të katërtat e përdoruesve të smartfonëve janë në sistemin Android. iPhone i Apple (AAPL) ka 25% të tregut, sipas Daniel Ives nga Wedbush Securities.
Sergey Toshin, themeluesi i Oversecured, tha se malware i Pinduoduo synonte në mënyrë specifike sisteme të ndryshme operative të bazuara në Android, duke përfshirë ato të përdorura nga Samsung, Huawei, Xiaomi dhe Oppo.
CNN ka kontaktuar me këto kompani për koment.
Toshin e përshkroi Pinduoduo si “malware më të rrezikshëm” të gjetur ndonjëherë në mesin e aplikacioneve kryesore.
“Nuk kam parë kurrë diçka të tillë më parë. Është si super e shtrirë,” tha ai.
Shumica e prodhuesve të telefonave globalisht personalizojnë softuerin bazë Android, Projektin me burim të hapur Android (AOSP), për të shtuar veçori dhe aplikacione unike në pajisjet e tyre.
Toshin zbuloi se Pinduoduo kishte shfrytëzuar rreth 50 dobësi të sistemit Android. Shumica e shfrytëzimeve ishin të përshtatura për pjesë të personalizuara të njohura si kodi i prodhuesit origjinal të pajisjeve (OEM), i cili tenton të auditohet më rrallë se AOSP dhe për këtë arsye është më i prirur ndaj dobësive, tha ai.
Pinduoduo shfrytëzoi gjithashtu një sërë dobësish të AOSP, duke përfshirë një që u raportua nga Toshin në Google në shkurt 2022. Google e rregulloi defektin këtë mars, tha ai.
Unë kurrë nuk kam parë diçka të tillë më parë. Është si, super i shtrirë.
Sergey Toshin, ekspert i sigurisë Android
Sipas Toshin, shfrytëzimet i lejuan Pinduoduo qasje në vendndodhjet, kontaktet, kalendarët, njoftimet dhe albumet e fotografive të përdoruesve pa pëlqimin e tyre. Ata ishin gjithashtu në gjendje të ndryshonin cilësimet e sistemit dhe të hynin në llogaritë dhe bisedat e rrjeteve sociale të përdoruesve, tha ai.
Nga gjashtë ekipet me të cilat CNN foli për këtë histori, tre nuk kryen ekzaminime të plota. Por rishikimet e tyre kryesore treguan se Pinduoduo kërkoi një numër të madh lejesh përtej funksioneve normale të një aplikacioni për blerje.
Ato përfshinin “leje potencialisht invazive” të tilla si “vendosja e sfondit” dhe “shkarkimi pa njoftim”, tha René Mayrhofer, kreu i Institutit të Rrjeteve dhe Sigurisë në Universitetin Johannes Kepler në Linz në Austri.
Shpërbërja e ekipit
Dyshimet për malware në aplikacionin e Pinduoduo u ngritën për herë të parë në fund të shkurtit në një raport nga një firmë kineze e sigurisë kibernetike e quajtur Dark Navy. Edhe pse analiza nuk përmendi drejtpërdrejt emrin e gjigantit të blerjeve, raporti u përhap shpejt midis studiuesve të tjerë, të cilët emëruan kompaninë. Disa nga analistët ndoqën raportet e tyre që konfirmonin gjetjet origjinale.
Menjëherë pas kësaj, më 5 mars, Pinduoduo lëshoi një përditësim të ri të aplikacionit të tij, versionin 6.50.0, i cili hoqi shfrytëzimet, sipas dy ekspertëve me të cilët foli CNN.
Dy ditë pas përditësimit, Pinduoduo shpërndau ekipin e inxhinierëve dhe menaxherëve të produkteve që kishin zhvilluar shfrytëzimet, sipas burimit të Pinduoduo.
Të nesërmen, anëtarët e ekipit e gjetën veten të mbyllur nga aplikacioni i komunikimit me porosi në vendin e punës të Pinduoduo, Knock, dhe humbën aksesin në skedarët në rrjetin e brendshëm të kompanisë. Inxhinierët gjetën gjithashtu aksesin e tyre në të dhëna të mëdha, fletët e të dhënave dhe sistemin e regjistrave të anuluar, tha burimi.
Shumica e ekipit u transferuan për të punuar në Temu. Ata u caktuan në departamente të ndryshme në filialin, me disa që punonin në marketing ose në zhvillimin e njoftimeve shtytëse, sipas burimit.
Një grup thelbësor prej rreth 20 inxhinierësh të sigurisë kibernetike që specializohen në gjetjen dhe shfrytëzimin e dobësive mbeten në Pinduoduo, thanë ata.
Toshin nga Oversecured, i cili shqyrtoi përditësimin, tha se megjithëse shfrytëzimet u hoqën, kodi themelor ishte ende aty dhe mund të riaktivizohej për të kryer sulme.
Dështimi i mbikëqyrjes
Pinduoduo ka qenë në gjendje të rrisë bazën e saj të përdoruesve në një sfond të shtrëngimit rregullator të qeverisë kineze mbi Big Tech që filloi në fund të 2020.
Atë vit, Ministria e Industrisë dhe Teknologjisë së Informacionit nisi një goditje gjithëpërfshirëse ndaj aplikacioneve që mbledhin dhe përdorin në mënyrë të paligjshme të dhëna personale.
Në vitin 2021, Pekini miratoi legjislacionin e tij të parë gjithëpërfshirës për privatësinë e të dhënave.
Ligji për Mbrojtjen e Informacionit Personal përcakton se asnjë palë nuk duhet të mbledhë, përpunojë ose transmetojë në mënyrë të paligjshme informacione personale. Ata gjithashtu janë të ndaluar të shfrytëzojnë dobësitë e sigurisë të lidhura me internetin ose të angazhohen në veprime që rrezikojnë sigurinë kibernetike.
Malware i dukshëm i Pinduoduo do të ishte një shkelje e atyre ligjeve, thonë ekspertët e politikave të teknologjisë, dhe duhet të ishte zbuluar nga rregullatori.
“Kjo do të ishte e turpshme për Ministrinë e Industrisë dhe Teknologjisë së Informacionit, sepse kjo është puna e tyre,” tha Kendra Schaefer, një eksperte e politikave teknologjike në Trivium China, një konsulencë. “Ata duhet të kontrollojnë Pinduoduo dhe fakti që ata nuk gjetën (asgjë) është i turpshëm për rregullatorin.”
Ministria ka publikuar rregullisht lista për të emërtuar dhe turpëruar aplikacionet që zbulohet se kanë minuar privatësinë e përdoruesve ose të drejta të tjera. Ai publikon gjithashtu një listë të veçantë të aplikacioneve që hiqen nga dyqanet e aplikacioneve për mospërputhje me rregulloret.
Pinduoduo nuk u shfaq në asnjë nga listat.
Ata duhet të kontrollojnë Pinduoduo, dhe fakti që ata nuk gjetën (asgjë) është i turpshëm për rregullatorin.
Kendra Schaefer, eksperte e politikave teknologjike
CNN i ka kontaktuar Ministrisë së Industrisë dhe Teknologjisë së Informacionit dhe Administratës së Hapësirës Kibernetike të Kinës për koment.
Në mediat sociale kineze, disa ekspertë të sigurisë kibernetike pyetën pse rregullatorët nuk kanë ndërmarrë asnjë veprim.
“Ndoshta asnjë nga rregullatorët tanë nuk mund të kuptojë kodimin dhe programimin, as nuk e kuptojnë teknologjinë. Nuk mund ta kuptosh as kodin keqdashës kur të futet përpara fytyrës tënde”, shkroi një ekspert i sigurisë kibernetike me 1.8 milionë ndjekës javën e kaluar në një postim viral në Weibo, një platformë e ngjashme me Twitter.
Postimi u censurua të nesërmen.
