Но, по словам исследователей кибербезопасности, приложение также может обходить систему защиты смартфонов, чтобы отслеживать действия в других приложениях, проверять уведомления, читать личные сообщения и изменять настройки. А ещё после установки его сложно удалить.
В то время как многие приложения собирают огромные массивы пользовательских данных, иногда без явного согласия, эксперты говорят, что гигант электронной коммерции Pinduoduo вывел нарушения конфиденциальности и безопасности данных на новый уровень.
Журналисты американского телеканала CNN поговорили с полудюжиной команд по кибербезопасности из Азии, Европы и Соединённых Штатов, а также с несколькими бывшими и нынешними сотрудниками Pinduoduo.
Несколько экспертов заявили о вредоносном ПО в приложении Pinduoduo, которое использовало уязвимости в операционных системах Android. А инсайдеры компании заявили, что эксплойты использовались для слежки за пользователями и конкурентами якобы для увеличения продаж.
Мы ещё не видели, чтобы такое распространённое приложение пыталось расширить свои привилегии, чтобы получить доступ к вещам, к которым получать не должно
— Микко Хиппонен, главный научный сотрудник финской фирмы по кибербезопасности WithSecure.
Впрочем, пока нет никаких доказательств того, что разработчики Pinduoduo передали данные китайскому правительству. Однако выводы последовали: в марте Google приостановил доступ к Pinduoduo в Play Store, сославшись на вредоносное ПО. А в недавнем отчёте Bloomberg указали, что российская фирма по кибербезопасности также выявила потенциальное вредоносное ПО в приложении.
Ещё в 2015-м стартап, основанный в Шанхае Колином Хуангом, бывшим сотрудником Google, боролся за то, чтобы утвердиться на рынке. Тогда в сфере электронной коммерции доминировали Alibaba и JD.com. Pinduoduo предложило привлекательные скидки на групповые заказы от друзей и семей и сосредоточилось на сельских районах с низким уровнем дохода — и так преуспело. Теперь Pinduoduo может похвастаться пользовательской базой в три четверти онлайн-населения Китая, и рыночной стоимостью, в три раза превышающей eBay.
По словам неназванного источника, компания собрала обширные данные о действиях пользователей, чтобы создать всеобъемлющий портрет привычек, интересов и предпочтений пользователей. В общем, в целях маркетинга. Это позволило улучшить модель машинного обучения, чтобы отправлять более эффективные push-уведомления и рекламу.
И вот западные исследователи обнаружили код, предназначенный для «повышения привилегий» — это тип кибератаки, который использует уязвимую операционную систему для получения более высокого уровня доступа к данным, чем предполагается.
Приложение может продолжить работу в фоновом режиме и противостоять удалению. ПО также имеет возможность шпионить за конкурентами, отслеживая активность в других приложениях для покупок и получая от них информацию, отметил эксперт Микко Хиппонен.
Кроме того, в компании Check Point выявили способы, с помощью которых приложение могло избежать проверки. По словам исследователей, оно внедрило метод, который позволял ему получать обновления без проверки App Store, то есть избегать обнаружения зловредов. Они также выявили в некоторых плагинах намерение скрыть потенциально вредоносные компоненты, скрыв их под такими именами файлов, как Google.
Основатель Oversecured Сергей Тошин обнаружил, что Pinduoduo использовало около 50 уязвимостей в системе Android. Специалист сказал, что вредоносная программа нацелена на различные операционные системы на базе Android, в том числе Samsung, Huawei, Xiaomi и Oppo. Тошин назвал Pinduoduo «самым опасным вредоносным ПО», когда-либо обнаруженным среди основных приложений.
По словам Тошина, эксплойты позволили Pinduoduo получить доступ к местоположениям пользователей, контактам, календарям, уведомлениям и фотоальбомам без их согласия. Они также смогли изменить системные настройки и получить доступ к учётным записям пользователей в соцсетях и чатах.
Из шести экспертных команд, с которыми поговорили журналисты CNN, три не проводили полных проверок. Но даже первичные обзоры показали, что Pinduoduo запрашивало слишком много разрешений, что выходит за рамки обычных функций приложения для покупок.
Однако 5 марта компания Pinduoduo выпустила новое обновление приложения, версию 6.50.0, удалив эксплойты. Через два дня после обновления распустила соответствующую команду инженеров и менеджеров по продуктам, сообщил неназванный источник из Pinduoduo. Большую часть команды перевели на работу в Temu, то есть распределили по разным отделам дочерней компании.
Тошин из Oversecured изучив обновление и сказал, что даже после удаления эксплойтов базовый код всё ещё там и может быть повторно активирован для атак.
