Aggiornamento 30/10: dopo la prima risposta, arrivano nuovi dettagli sulla vicenda da parte di Temu, li trovate a fine articolo.
Vi ricordate Pinduoduo, l’app cinese che mesi fa fece parlare di sé quando venne rimossa dal Google Play Store a causa di un virus al suo interno? Ecco, non tutti sanno che l’app è di proprietà di PDD Holdings, società che possiede anche Temu, e-commerce anch’esso cinese che sta rapidamente spopolando grazie a un’aggressiva politica di marketing e a prezzi estremamente bassi. Talmente bassi che qualcuno si è chiesto come ciò sia possibile, e non c’è voluto molto prima che qualcuno indagasse, col risultato che adesso l’app è accusata di spionaggio e furto di dati ai danni dei suoi utenti.
La società statunitense Grizzly Research analizza e spiega i rischi dietro l’app di Temu
Dopo essere stata rimossa temporaneamente dal Google Play Store, Pinduoduo fece sapere di aver rimosso i file problematici e allontanato ingegneri e manager che sarebbero stati dietro all’inserimento del malware nell’app. Tuttavia, già nei mesi scorsi la CNN riportò che i dipendenti non fossero stati licenziati bensì trasferiti in Temu , oltre ad altre accuse di violare l’Uyghur Forced Labor Prevention Act contro lo sfruttamento degli uiguri nello Xinjiang.
A queste accuse si aggiungono adesso quelle del centro di ricerca GrizzlyReports, che in queste ore ha pubblicato in rete una lunga indagine che scoperchierebbe il vaso di Pandora dietro l’app di Temu, a oggi scaricata da oltre 100 milioni di utenti fra USA ed Europa (l’app non opera in Cina). Nonostante un tasso d’adozione piuttosto alto in così poco tempo, il business model di Temu non sarebbe sostenibile, in quanto starebbe perdendo 30$ ogni ordine a causa degli alti costi sostenuti fra marketing, politica aggressiva dei prezzi e spedizioni rapide verso l’occidente, soffrendo anche la crescente competizione di aziende rivali quali Alibaba e JingDong.
GrizzlyReports prosegue affermando che l’azienda proprietaria, PDD Holdings, sarebbe sostanzialmente una “scatola nera“: pur essendo una società quotata in borsa, non fornirebbe dati finanziari affidabili, non avrebbe un CFO sin dal 2018, avrebbe disperso miliardi di dollari di azioni e sarebbe coinvolta in scandali legati al gioco d’azzardo e all’order brushing, pratica con cui un e-commerce finge ordini e recensioni per alzare la visibilità dei prodotti.
Alla luce di questa scarsa redditività, PDD Holdings starebbe usando Temu come esca per far abboccare persone ignare, che finirebbero vittime di funzioni nascoste per sottrarre i dati degli utenti per usarli e venderli illegalmente. GrizzlyReports afferma che Temu userebbe “tutte le funzioni inappropriate e pericolose possibili“, come potete vedere nella tabella qua sopra, arrivando a definirla “l’app più pericolosa attualmente in circolazione“.
Il team di PDD avrebbe incaricato un team di 100 programmatori (fra cui gli ex di Pinduoduo) per trovare e sfruttare le vulnerabilità presenti nei software degli smartphone Android, specialmente quelli nei modelli low-cost. In fase di sviluppo, l’azienda avrebbe diffuso il software malevolo solo in piccole città e zone rurali della Cina, evitando le grandi città per sfuggire ai controlli delle autorità.
L’app di Temi sarebbe in grado di creare creare un nuovo programma al suo interno per bypassare i controlli di sicurezza all’installazione, il ché spiegherebbe perché Google Play Store non abbia individuato criticità. C’è poi la questione dei permessi: quando si installata un’app, la prima volta che deve accedere a fotocamera, microfoni, memoria e così via deve chiedere all’utente il permesso di farlo. Non sarebbe il caso di Temu, che avrebbe così strada libera per accedere a fotocamera, microfono, posizione GPS, memoria interna e all’installazione di pacchetti software, dopodiché inviare i dati ai server cinesi.
Per farlo, Temu attuerebbe delle tattiche subdole: per esempio, se un cliente vuole caricare la foto di un prodotto nella sua recensione, l’app chiede il permesso non per accedere alla fotocamera bensì alla posizione GPS, quando non ci sarebbe nessun motivo per farlo. E a proposito di posizione satellitare, nonostante Android faccia di tutto per scoraggiare l’utilizzo della funzione ACCESS_FINE_LOCATION, Temu la userebbe comunque, e ciò gli permetterebbe di avere una precisa posizione di tracciamento entro i 3 metri.
Temu risulta particolarmente pericolosa soprattutto se utilizzata su uno smartphone moddato con i permessi di root attivi: in tal caso, l’app può leggere e modificare anche i file del sistema operativo e delle altre app. Parlando di spionaggio, la possibilità di effettuare e salvare screenshot all’insaputa del malcapitato verrebbe utilizzata dall’azienda per spiarne le attività. Inoltre, Temu sarebbe in grado di leggere e memorizzare l’indirizzo MAC, cioè l’identificatore di rete univoco e globale codificato di un dispositivo, il ché è un potenziale rischio in quanto l’utente rischierebbe di essere individuato per possibili attacchi cyber-informatici.
Secondo GrizzlyReports, il team di PDD avrebbe messo in atto grandi sforzi per nascondere tutte queste criticità, per esempio crittografando e oscurando le attività malevole. Critiche piuttosto pesanti, quelle dell’azienda statunitense, a cui attendiamo eventuali risposte o aggiunte da parte di altri centri di cyber-sicurezza.
La risposta di Temu | Aggiornamento 17/10
In risposta alle accuse ricevute nelle scorse settimane, in risposta Temu ci ha contattati per rimarcare il fatto che l’app sia ancora disponibile su Play Store e App Store, il ché la scagionerebbe dalle suddette incriminazioni.
Inoltre, Temu afferma che l’azienda Grizzly Research sarebbe in conflitto d’interessi: nei vari disclaimer dell’inchiesta si legge che le sue sono “opinioni e non dichiarazioni di fatto“, che “non rilascia dichiarazioni su accuratezza, tempestività o completezza delle informazioni“, che le sue opinioni “sono soggette a modifiche senza preavviso” e che “non si assume l’obbligo di aggiornare il rapporto“. Ma soprattutto, che alcune persone associate a Grizzly Research operano in borsa e potrebbero quindi avere benefici qualora il valore azionario di un’azienda venisse intaccato da una loro inchiesta.
Nuovi chiarimenti | Aggiornamenti 30/10
A distanza di qualche settimana dalla prima risposta da parte di Temu, la piattaforma di e-commerce è tornata a pronunciarsi sulla vicenda che la vede sotto diverse accuse. Una di queste è la presunta attività di spionaggio ai danni dei suoi clienti: da oggi, Temu ha aggiunto nell’app e nel sito web una sezione che specifica quali autorizzazioni vengono richieste.
Visitando questa sezione, si viene informati che sugli smartphone iOS Temu richiede l’autorizzazione per accedere alla fotocamera per “utilizzarla per recensioni di articoli, ricerche di immagini, ecc.“; su quelli Android, invece, “non richiede l’autorizzazione per accedere alla fotocamera, anche quando utilizzata“, in quanto “utilizza solo la fotocamera integrata del sistema per scattare foto“. Al contrario della fotocamera, sia da app che da browser Temu afferma di non avere accesso a microfono, GPS, galleria, contatti, calendario e Bluetooth.
C’è poi la questione sulla presunta raccolta illecita di dati. In risposta, Temu cita la sezione Informativa sulla Privacy e sui Cookie presente sul suo sito, così come la sezione “Dati collegati a te” che può essere consultata dall’App Store di Apple, spiegando il perché raccolga i relativi dati su smartphone iOS:
- Acquisti e Informazioni finanziarie: questi dati sono essenziali per l’esperienza di acquisto e sono necessari per elaborare ed evadere gli ordini.
- Posizione: nella maggior parte dei paesi/regioni, inclusa l’Australia, non chiediamo l’autorizzazione per accedere alla tua posizione. Il Medio Oriente è l’unica regione in cui possiamo richiederla, per facilitare l’inserimento dell’indirizzo di consegna.
- Informazioni di contatto: oltre all’evasione dell’ordine, questi dati sono necessari per creare un account. Tieni presente che queste sono le informazioni di contatto dell’utente, non la sua rubrica.
- Contenuti dell’utente: questi dati consentono di caricare foto, lasciare una recensione, cercare articoli con un’immagine, contattare il servizio clienti, ecc. Temu utilizza solo le foto integrate nel sistema per consentire agli utenti di importare immagini e non chiede il permesso per leggere queste foto.
- Cronologia delle ricerche: questi dati si riferiscono alle ricerche su Temu e ci aiutano a fornire un’esperienza più personalizzata, consigliando prodotti o servizi che potrebbero interessare.
- Identificativi, Dati sull’utilizzo e Diagnosi: questi dati vengono regolarmente raccolti dalla maggior parte se non da tutte le app utilizzate per identificare un account o dispositivo, analizzare/localizzare problemi che bloccano l’app e migliorare continuamente i servizi, ecc.
Per rimarcare il concetto, Temu fa presente che ci sono altre app comunemente utilizzate da miliardi di persone che raccolgono lo stesso quantitativo di dati se non di più, facendo l’esempio di Amazon.
⭐️ Scopri le migliori offerte online grazie al nostro canale Telegram esclusivo.