«Никогда не видел ничего подобного»: эксперты говорят, что одно из самых популярных приложений в Китае может шпионить за своими пользователями.

Это одно из самых популярных приложений для покупок в Китае, продающее одежду, продукты и почти все остальное более чем 750 миллионам пользователей в месяц.

Но, по мнению исследователей в области кибербезопасности, он также может обходить защиту мобильных телефонов пользователей, чтобы отслеживать действия в других приложениях, проверять уведомления, читать личные сообщения и изменять настройки.

И после установки его трудно удалить.

В то время как многие приложения собирают огромное количество пользовательских данных, иногда без явного согласия, эксперты говорят, что гигант электронной коммерции Pinduoduo вывел нарушения конфиденциальности и безопасности данных на новый уровень.

В ходе подробного расследования CNN поговорила с полдюжиной команд по кибербезопасности из Азии, Европы и США, а также с несколькими бывшими и нынешними сотрудниками Pinduoduo после получения наводки.

Несколько экспертов выявили наличие вредоносного ПО в приложении Pinduoduo, которое использовало уязвимости в операционных системах Android. Инсайдеры компании заявили, что эксплойты использовались для слежки за пользователями и конкурентами, якобы для увеличения продаж.

«Мы не видели, чтобы такое массовое приложение пыталось повысить свои привилегии, чтобы получить доступ к вещам, к которым они не должны иметь доступ», — сказал Микко Хиппёнен, главный научный сотрудник финской фирмы по кибербезопасности WithSecure.

«Это очень необычно, и это очень опасно для Pinduoduo».

Это очень необычно и довольно опасно для Pinduoduo.

Микко Хиппёнен, эксперт по кибербезопасности

Вредоносное ПО, сокращенно от «вредоносное программное обеспечение», относится к любому программному обеспечению, разработанному для кражи данных или вмешательства в работу компьютерных систем и мобильных устройств.

Доказательства наличия сложного вредоносного ПО в приложении Pinduoduo появляются на фоне тщательного изучения разработанных в Китае приложений, таких как TikTok, из-за опасений по поводу безопасности данных.

Некоторые американские законодатели настаивают на национальном запрете популярного приложения для коротких видео, чей генеральный директор Шоу Чу на прошлой неделе пять часов допрашивал Конгресс по поводу его отношений с китайским правительством.

Откровения также, вероятно, привлекут больше внимания к международному дочернему приложению Pinduoduo, Temu, которое возглавляет чарты загрузок в США и быстро расширяется на других западных рынках. Оба принадлежат зарегистрированной на Nasdaq PDD, многонациональной компании с корнями в Китае.

Хотя Temu не был замешан, предполагаемые действия Pinduoduo могут бросить тень на глобальную экспансию родственного приложения.

Нет никаких доказательств того, что Pinduoduo передала данные китайскому правительству. Но поскольку Пекин имеет значительные рычаги влияния на предприятия, находящиеся под его юрисдикцией, американские законодатели опасаются , что любая компания, работающая в Китае, может быть вынуждена сотрудничать с широким кругом сил безопасности.

Выводы последовали за приостановкой Google Pinduoduo в своем магазине Play Store в марте со ссылкой на вредоносное ПО, обнаруженное в версиях приложения.

В последующем отчете Bloomberg говорится, что российская фирма, занимающаяся кибербезопасностью, также обнаружила потенциальное вредоносное ПО в приложении.

Pinduoduo ранее отверг «предположения и обвинения в том, что приложение Pinduoduo является вредоносным».

CNN несколько раз связывался с PDD по электронной почте и телефону для комментариев, но не получил ответа.

Поднимитесь к успеху

Pinduoduo, который может похвастаться пользовательской базой, составляющей три четверти онлайн-населения Китая, и рыночной стоимостью, в три раза превышающей eBay (EBAY) , не всегда был гигантом онлайн-покупок.

Основанный в 2015 году в Шанхае Колином Хуаном , бывшим сотрудником Google, стартап боролся за то, чтобы закрепиться на рынке, где долгое время доминировали стойкие приверженцы электронной коммерции Alibaba (BABA) и JD.com (JD) .

Это удалось, предложив большие скидки на групповые заказы друзей и семьи и сосредоточив внимание на сельских районах с низким доходом.

Pinduoduo сообщил о трехзначном росте числа пользователей в месяц до конца 2018 года, когда он был зарегистрирован в Нью-Йорке. Однако к середине 2020 года рост числа пользователей в месяц замедлился примерно до 50% и, согласно отчетам о доходах , продолжит снижаться .

По словам нынешнего сотрудника Pinduoduo, в 2020 году компания создала команду из примерно 100 инженеров и менеджеров по продуктам для поиска уязвимостей в телефонах Android, разработки способов их использования и превращения этого в прибыль.

По словам источника, пожелавшего остаться неназванным из опасения репрессий, изначально компания ориентировалась только на пользователей из сельской местности и небольших городов, избегая при этом пользователей из мегаполисов, таких как Пекин и Шанхай.

«Цель состояла в том, чтобы снизить риск разоблачения», — сказали они.

По словам источника, собрав обширные данные о действиях пользователей, компания смогла создать исчерпывающий портрет привычек, интересов и предпочтений пользователей.

По их словам, это позволило улучшить модель машинного обучения, предлагая более персонализированные push-уведомления и рекламу, привлекая пользователей открывать приложение и размещать заказы.

По словам источника, команда была распущена в начале марта после того, как появились вопросы об их деятельности.

PDD не ответил на неоднократные запросы CNN о комментариях относительно команды.

Что обнаружили специалисты

С помощью CNN исследователи из тель-авивской киберкомпании Check Point Research, стартапа по безопасности приложений из Делавэра Oversecured и Hyppönen's WithSecure провели независимый анализ версии 6.49.0 приложения, выпущенной в китайских магазинах приложений в конце февраля.

Google Play недоступен в Китае, и пользователи Android в стране загружают свои приложения из местных магазинов. В марте, когда Google приостановил работу Pinduoduo, компания заявила, что обнаружила вредоносное ПО в версиях приложения вне Play.

Исследователи обнаружили код, предназначенный для достижения «повышения привилегий»: типа кибератаки, которая использует уязвимую операционную систему для получения более высокого уровня доступа к данным, чем предполагалось, по мнению экспертов.

«Наша команда перепроектировала этот код, и мы можем подтвердить, что он пытается повысить права, пытается получить доступ к вещам, которые обычные приложения не могут делать на телефонах Android», — сказал Хиппонен.

В Китае около трех четвертей пользователей смартфонов используют систему Android.

В Китае около трех четвертей пользователей смартфонов используют систему Android.

Ло Юньфэй / Служба новостей Китая / VCG / Getty Images

По словам Хиппёнена, приложение могло продолжать работать в фоновом режиме и предотвращать свое удаление, что позволило ему увеличить количество активных пользователей в месяц. Он также добавил, что у него была возможность шпионить за конкурентами, отслеживая активность в других приложениях для покупок и получая от них информацию.

Check Point Research дополнительно выявила способы, которыми приложение могло избежать проверки.

По словам исследователей, приложение развернуло метод, который позволял отправлять обновления без процесса проверки в магазине приложений, предназначенного для обнаружения вредоносных приложений.

Они также выявили в некоторых подключаемых модулях намерение скрыть потенциально вредоносные компоненты, спрятав их под законными именами файлов, такими как Google.

«Такой метод широко используется разработчиками вредоносных программ, которые внедряют вредоносный код в приложения с законной функциональностью», — сказали они.

Таргетинг на Android

В Китае около трех четвертей пользователей смартфонов используют систему Android . По словам Дэниела Айвза из Wedbush Securities, доля рынка iPhone от Apple (AAPL) составляет 25%.

Сергей Тошин, основатель Oversecured, сказал, что вредоносное ПО Pinduoduo нацелено на различные операционные системы на базе Android, включая те, которые используются Samsung, Huawei, Xiaomi и Oppo.

CNN обратился к этим компаниям за комментариями.

Тошин назвал Pinduoduo «самой опасной вредоносной программой», когда-либо встречавшейся среди популярных приложений.

«Я никогда раньше не видел ничего подобного. Это похоже на суперэкспансивность», — сказал он.

Большинство производителей телефонов во всем мире настраивают основное программное обеспечение Android, Android Open Source Project (AOSP), добавляя уникальные функции и приложения на свои устройства.

Тошин обнаружил, что Pinduoduo использовал около 50 уязвимостей системы Android. По его словам, большинство эксплойтов были созданы специально для настраиваемых деталей, известных как код производителя оригинального оборудования (OEM), который, как правило, подвергается аудиту реже, чем AOSP, и поэтому более подвержен уязвимостям.

Pinduoduo также использовал ряд уязвимостей AOSP, в том числе одну, о которой Toshin сообщил Google в феврале 2022 года. Google исправила ошибку в марте этого года, сказал он.

Я никогда не видел ничего подобного раньше. Это как, супер экспансивный.

Сергей Тошин, эксперт по безопасности Android

По словам Тошина, эксплойты позволили Pinduoduo получить доступ к местоположению, контактам, календарям, уведомлениям и фотоальбомам пользователей без их согласия. По его словам, они также могли изменять системные настройки и получать доступ к учетным записям пользователей в социальных сетях и чатам.

Из шести команд, с которыми CNN связался для этой истории, три не проводили полных исследований. Но их первичные обзоры показали, что Pinduoduo запрашивает большое количество разрешений, выходящих за рамки обычных функций приложения для покупок.

Они включали «потенциально инвазивные разрешения», такие как «установка обоев» и «загрузка без уведомления», — сказал Рене Майрхофер, глава Института сетей и безопасности Линцского университета имени Иоганна Кеплера в Австрии.

Люди используют свои телефоны в пекинском метро, ​​июль 2022 года.

Люди используют свои телефоны в пекинском метро, ​​июль 2022 года.

Шелдон Купер/SOPA Images/LightRocket/Getty Images

Расформирование команды

Подозрения о вредоносном ПО в приложении Pinduoduo впервые были высказаны в конце февраля в отчете китайской фирмы по кибербезопасности Dark Navy. Несмотря на то, что в анализе не упоминалось имя торгового гиганта, отчет быстро распространился среди других исследователей, которые все-таки назвали компанию. Некоторые из аналитиков представили свои собственные отчеты , подтверждающие первоначальные выводы.

Вскоре после этого, 5 марта, Pinduoduo выпустила новое обновление своего приложения версии 6.50.0, в котором были удалены эксплойты, по словам двух экспертов, с которыми беседовал CNN.

По словам источника Pinduoduo, через два дня после обновления Pinduoduo распустила команду инженеров и менеджеров по продуктам, которые разрабатывали эксплойты.

На следующий день члены команды оказались заблокированы в приложении Knock для общения на рабочем месте от Pinduoduo и потеряли доступ к файлам во внутренней сети компании. По словам источника, инженеры также обнаружили, что у них аннулирован доступ к большим данным, таблицам данных и системе журналов.

Большая часть команды была переведена на работу в Тему. По словам источника, они были назначены в разные отделы дочерней компании, а некоторые работали над маркетингом или разработкой push-уведомлений.

По их словам, основная группа из примерно 20 инженеров по кибербезопасности, специализирующихся на поиске и использовании уязвимостей, остается в Pinduoduo.

Тошин из Oversecured, который изучил обновление, сказал, что, хотя эксплойты были удалены, базовый код все еще был там, и его можно было повторно активировать для проведения атак.

Ошибка надзора

Pinduoduo смогла расширить свою пользовательскую базу на фоне регулятивных мер правительства Китая в отношении крупных технологий, которые начались в конце 2020 года.

В том же году Министерство промышленности и информационных технологий начало широкомасштабную борьбу с приложениями, которые незаконно собирают и используют личные данные.

В 2021 году Пекин принял свой первый всеобъемлющий закон о конфиденциальности данных.

Закон о защите личной информации гласит, что ни одна сторона не должна незаконно собирать, обрабатывать или передавать личную информацию. Им также запрещено использовать уязвимости в системе безопасности, связанные с Интернетом, или совершать действия, которые ставят под угрозу кибербезопасность.

Явное вредоносное ПО Pinduoduo было бы нарушением этих законов, говорят эксперты по технической политике, и должно было быть обнаружено регулирующим органом.

«Это было бы неловко для Министерства промышленности и информационных технологий, потому что это их работа», — сказала Кендра Шефер, эксперт по технической политике консалтинговой компании Trivium China. «Они должны проверить Pinduoduo, и тот факт, что они ничего не нашли, смущает регулятора».

Министерство регулярно публикует списки , чтобы назвать и осудить приложения, которые нарушают конфиденциальность пользователей или другие права. Он также публикует отдельный список приложений, которые удаляются из магазинов приложений за несоблюдение правил.

Pinduoduo не фигурировал ни в одном из списков.

Они должны проверить Pinduoduo, и тот факт, что они (ничего) не нашли, смущает регулятора.

Кендра Шефер, эксперт по технической политике

CNN обратился за комментариями в Министерство промышленности и информационных технологий и Управление киберпространства Китая.

В китайских социальных сетях некоторые эксперты по кибербезопасности задались вопросом, почему регулирующие органы не предприняли никаких действий.

«Вероятно, никто из наших регулирующих органов не разбирается в кодировании и программировании, равно как и в технологиях. Вы даже не можете понять вредоносный код, когда его суют прямо перед вашим носом», — написал на прошлой неделе эксперт по кибербезопасности с 1,8 миллионами подписчиков в вирусном посте на платформе Weibo, похожей на Twitter.

Пост был подвергнут цензуре на следующий день.