Это одно из самых популярных приложений для покупок в Китае, которое продает одежду, продукты и практически все остальное под солнцем более чем 750 миллионам пользователей в месяц.
Но, по данным исследователей кибербезопасности, оно может обходить защиту мобильного телефона пользователя, чтобы отслеживать действия в других приложениях, проверять уведомления, читать личные сообщения и изменять настройки.
И если приложение установлено, его трудно удалить.
Хотя многие приложения собирают огромные массивы пользовательских данных, иногда без явного согласия, эксперты говорят, что гигант электронной коммерции Pinduoduo вывел нарушение конфиденциальности и безопасности данных на новый уровень.
В ходе подробного расследования CNN побеседовал с полудюжиной специалистов по кибербезопасности из Азии, Европы и США, а также с несколькими бывшими и нынешними сотрудниками Pinduoduo.
Несколько экспертов выявили наличие вредоносного ПО в приложении Pinduoduo, которое использовало уязвимости в операционных системах Android. По словам инсайдеров компании, эти уязвимости использовались для шпионажа за пользователями и конкурентами, якобы для увеличения продаж.
"Мы еще не видели, чтобы подобные приложения пытались повысить свои привилегии, чтобы получить доступ к тому, к чему они не должны получать доступ", - сказал Микко Хиппенен, главный исследователь WithSecure, финской компании по кибербезопасности.
Это очень необычно, и для Pinduoduo это очень плохо.Микко Хюппёнен, эксперт по кибербезопасности
Вредоносное программное обеспечение, сокращенное от malicious software, относится к любому программному обеспечению, разработанному для кражи данных или вмешательства в работу компьютерных систем и мобильных устройств.
Свидетельства наличия сложного вредоносного ПО в приложении Pinduoduo появляются на фоне пристального внимания к приложениям китайских разработчиков, таким как TikTok, из-за опасений по поводу безопасности данных.
Некоторые американские законодатели настаивают на национальном запрете популярного приложения для просмотра коротких видеороликов, чей генеральный директор Шоу Чу на прошлой неделе в течение пяти часов допрашивался в Конгрессе о его отношениях с китайским правительством.
Откровения также, вероятно, привлекут больше внимания к международному родственному приложению Pinduoduo, Temu, которое возглавляет чарты загрузок в США и быстро распространяется на других западных рынках. Оба приложения принадлежат PDD, зарегистрированной на Nasdaq, многонациональной компании с корнями в Китае.
Хотя Temu не был замешан в этом, предполагаемые действия Pinduoduo могут бросить тень на глобальную экспансию его сестринского приложения.
Нет никаких доказательств того, что Pinduoduo передала данные китайскому правительству. Но поскольку Пекин пользуется значительным влиянием на предприятия, находящиеся под его юрисдикцией, американские законодатели опасаются, что любая компания, работающая в Китае, может быть вынуждена сотрудничать с широким кругом служб безопасности.
Выводы последовали за тем, как в марте Google приостановил работу Pinduoduo в Play Store, ссылаясь на вредоносное ПО, обнаруженное в версиях приложения.
Последующий отчет Bloomberg сообщил, что российская компания по кибербезопасности также обнаружила потенциальное вредоносное ПО в приложении.
Компания Pinduoduo ранее отвергала "спекуляции и обвинения в том, что приложение Pinduoduo является вредоносным".
CNN несколько раз связывался с PDD по электронной почте и телефону для получения комментариев, но пока не получил ответа.
Восхождение к успеху
Компания Pinduoduo, которая может похвастаться базой пользователей, составляющей три четверти китайского интернет-населения, и рыночной стоимостью, в три раза превышающей стоимость eBay (EBAY), не всегда была бегемотом онлайн-покупок.
Основанный в 2015 году в Шанхае Колином Хуангом, бывшим сотрудником Google, стартап боролся за то, чтобы утвердиться на рынке, где долгое время доминировали лидеры электронной коммерции Alibaba (BABA) и JD.com (JD).
Компания добилась успеха, предлагая большие скидки на групповые покупки для друзей и семьи и ориентируясь на сельские районы с низким уровнем дохода.
Компания Pinduoduo демонстрировала трехзначный рост числа ежемесячных пользователей до конца 2018 года, когда она вышла на биржу в Нью-Йорке. Однако к середине 2020 года рост числа ежемесячных пользователей замедлился примерно до 50% и продолжит снижаться, согласно отчетам о доходах.
По словам действующего сотрудника Pinduoduo, именно в 2020 году компания создала команду из примерно 100 инженеров и менеджеров по продуктам для поиска уязвимостей в телефонах Android, разработки способов их использования и превращения этого в прибыль.
По словам источника, который попросил об анонимности, опасаясь репрессий, компания изначально нацеливалась только на пользователей в сельских районах и небольших городах, избегая пользователей в мегаполисах, таких как Пекин и Шанхай.
"Цель заключалась в том, чтобы снизить риск разоблачения", - сказали они.
По словам источника, собирая обширные данные о действиях пользователей, компания смогла составить полный портрет их привычек, интересов и предпочтений.
Это позволило улучшить модель машинного обучения, чтобы предлагать более персонализированные push-уведомления и рекламу, привлекая пользователей открывать приложение и делать заказы, говорят они.
Команда была расформирована в начале марта, добавил источник, после того как появились вопросы об их деятельности.
PDD не ответила на неоднократные просьбы CNN прокомментировать деятельность команды.
Что обнаружили эксперты
По просьбе CNN исследователи из тель-авивской киберкомпании Check Point Research, стартапа Oversecured из Делавера и WithSecure Хиппенена провели независимый анализ версии приложения 6.49.0, выпущенной в китайских магазинах приложений в конце февраля.
Google Play недоступен в Китае, и пользователи Android в этой стране загружают свои приложения из местных магазинов. В марте, когда Google приостановил работу Pinduoduo, компания заявила, что обнаружила вредоносное ПО в версиях приложения, не входящих в Google Play.
Исследователи обнаружили код, предназначенный для достижения "эскалации привилегий": по словам экспертов, это тип кибератаки, который использует уязвимую операционную систему для получения более высокого уровня доступа к данным, чем положено.
"Наша команда провела реверс-инжиниринг этого кода, и мы можем подтвердить, что он пытается повысить права, пытается получить доступ к тому, что обычные приложения не могли бы делать на телефонах Android", - сказал Хиппонен.
Приложение могло работать в фоновом режиме и не удаляться, что позволяло ему увеличивать количество ежемесячных активных пользователей, сказал Хиппёнен. Кроме того, приложение могло шпионить за конкурентами, отслеживая активность в других приложениях для покупок и получая от них информацию, добавил он.
Check Point Research также выявила способы, с помощью которых приложение могло уклоняться от проверок.
По словам исследователей, приложение использовало метод, который позволял ему выпускать обновления без процесса проверки магазина приложений, предназначенного для выявления вредоносных приложений.
Они также обнаружили в некоторых плагинах намерение скрыть потенциально вредоносные компоненты, спрятав их под легитимными именами файлов, например, Google.
"Такая техника широко используется разработчиками вредоносных программ, которые внедряют вредоносный код в приложения, обладающие легитимной функциональностью", - отметили они.
Цель Android
В Китае около трех четвертей пользователей смартфонов работают на системе Android. iPhone от Apple (AAPL) занимает 25% рынка, по данным Дэниела Айвза из Wedbush Securities.
Сергей Тошин, основатель Oversecured, сказал, что вредоносная программа Pinduoduo была нацелена на различные операционные системы на базе Android, включая те, которые используются Samsung, Huawei, Xiaomi и Oppo.
CNN обратился за комментариями к этим компаниям.
Тошин назвал Pinduoduo "самым опасным вредоносным ПО", когда-либо обнаруженным среди обычных приложений.
"Я никогда не видел ничего подобного раньше. Это просто супер-расширение", - сказал он.
Большинство производителей телефонов во всем мире настраивают основное программное обеспечение Android, Android Open Source Project (AOSP), чтобы добавить уникальные функции и приложения для своих собственных устройств.
Тошин обнаружил, что Pinduoduo использовал около 50 уязвимостей системы Android. По его словам, большинство уязвимостей были созданы для специализированных частей, известных как код производителя оригинального оборудования (OEM), который, как правило, проверяется реже, чем AOSP, и поэтому более подвержен уязвимостям.
Pinduoduo также использовал ряд уязвимостей AOSP, включая одну, о которой Тошин сообщил Google в феврале 2022 года. Google исправил ошибку в марте этого года, сказал он.
Я никогда не видел ничего подобного раньше. Это просто супер обширная проблема.Сергей Тошин, эксперт по безопасности Android
По словам Тошина, эксплойты позволяли Pinduoduo получать доступ к местоположению, контактам, календарям, уведомлениям и фотоальбомам пользователей без их согласия. По его словам, они также могли изменять настройки системы и получать доступ к учетным записям пользователей в социальных сетях и чатах.
Из шести групп, с которыми CNN побеседовала для этой статьи, три не проводили полного обследования. Но их первичные обзоры показали, что Pinduoduo запрашивало большое количество разрешений, выходящих за рамки обычных функций приложения для покупок.
Они включали "потенциально инвазивные разрешения", такие как "установить обои" и "загружать без уведомления", - сказал Рене Майрхофер, глава Института сетей и безопасности в Университете Иоганна Кеплера в Линце (Австрия).
Расформирование команды
Подозрения о наличии вредоносного ПО в приложении Pinduoduo впервые возникли в конце февраля в отчете китайской компании по кибербезопасности под названием Dark Navy. Несмотря на то, что в анализе не было прямого названия торгового гиганта, отчет быстро распространился среди других исследователей, которые назвали компанию. Некоторые из аналитиков опубликовали собственные отчеты, подтверждающие первоначальные выводы.
Вскоре после этого, 5 марта, компания Pinduoduo выпустила новое обновление своего приложения, версию 6.50.0, которое удалило эксплойты, по словам двух экспертов, с которыми пообщался CNN.
Через два дня после обновления Pinduoduo распустила команду инженеров и менеджеров по продуктам, которые разработали эксплойты, по словам источника в Pinduoduo.
На следующий день члены команды обнаружили, что они заблокированы в приложении Knock, разработанном компанией Pinduoduo для общения на рабочем месте, и потеряли доступ к файлам во внутренней сети компании. По словам источника, инженеры также лишились доступа к большим данным, листам данных и системе журналов.
Большинство членов команды были переведены на работу в Temu. Они были распределены в различные отделы дочерней компании, некоторые из них занимались маркетингом или разработкой push-уведомлений, по словам источника.
По словам источника, в Pinduoduo осталась основная группа из примерно 20 инженеров по кибербезопасности, которые специализируются на поиске и эксплуатации уязвимостей.
Тошин из Oversecured, который изучал обновление, сказал, что хотя эксплойты были удалены, основной код все еще был там и мог быть снова активирован для проведения атак.
Провал надзора
Pinduoduo удалось увеличить свою пользовательскую базу на фоне регулятивных мер китайского правительства по борьбе с большими технологиями, которые начались в конце 2020 года.
В том году Министерство промышленности и информационных технологий начало широкомасштабную борьбу с приложениями, которые незаконно собирают и используют персональные данные.
В 2021 году в Пекине был принят первый комплексный закон о конфиденциальности данных.
Закон о защите личной информации гласит, что ни одна сторона не должна незаконно собирать, обрабатывать или передавать личную информацию. Им также запрещено использовать уязвимости в системе безопасности, связанные с Интернетом, или совершать действия, которые ставят под угрозу кибербезопасность.
Очевидное вредоносное программное обеспечение Pinduoduo является нарушением этих законов, говорят эксперты по технической политике, и должно было быть обнаружено регулятором.
"Это было бы неловко для Министерства промышленности и информационных технологий, потому что это их работа", - сказала Кендра Шефер, эксперт по технологической политике в консалтинговой компании Trivium China. "Они должны были проверить Pinduoduo, и тот факт, что они не нашли (ничего), ставит регулятора в неловкое положение".
Министерство регулярно публикует списки, в которых называет и позорит приложения, уличенные в нарушении конфиденциальности и других прав пользователей. Оно также публикует отдельный список приложений, которые удаляются из магазинов приложений за несоблюдение правил.
Pinduoduo не фигурировало ни в одном из этих списков.
Они должны были проверить Pinduoduo, и тот факт, что они не нашли (ничего), ставит регулятора в неловкое положение".Кендра Шефер, эксперт по технической политике
CNN обратился за комментариями в Министерство промышленности и информационных технологий и Администрацию киберпространства Китая.
В китайских социальных сетях некоторые эксперты по кибербезопасности задались вопросом, почему регулирующие органы не приняли никаких мер.
"Вероятно, никто из наших регуляторов не разбирается в кодировании и программировании, не понимает технологии. Вы даже не можете понять вредоносный код, когда его пихают прямо вам в лицо", - написал на прошлой неделе эксперт по кибербезопасности с 1,8 миллионами подписчиков в вирусном сообщении на Weibo, платформе, похожей на Twitter.
На следующий день сообщение было подвергнуто цензуре.
Репортаж подготовили сотрудники CNN Кристи Лу Стаут и Шон Лингаас.
Приложение могло работать в фоновом режиме и не удаляться, что позволяло ему увеличивать количество ежемесячных активных пользователей, сказал Хиппёнен. Кроме того, приложение могло шпионить за конкурентами, отслеживая активность в других приложениях для покупок и получая от них информацию, добавил он.
