App di shopping online violava la privacy leggendo i messaggi privati degli utenti e modificando le impostazioni dello smartphone
Pinduoduo è una delle app per lo shopping online più popolari in Cina, che vende abbigliamento, generi alimentari e praticamente qualsiasi altra cosa a oltre 750 milioni di utenti al mese. Ma secondo i ricercatori sulla sicurezza informatica, può anche aggirare la sicurezza dello smartphone degli utenti per monitorare le attività su altre app, controllare le notifiche, leggere i messaggi privati e modificare le impostazioni del dispositivo su cui è installata.
E una volta installata, l'app spia è difficile da rimuovere. Se molte app raccolgono enormi quantità di dati degli utenti, a volte senza il consenso esplicito, gli esperti affermano che però il gigante dell'e-commerce Pinduoduo ha portato le violazioni della privacy e della sicurezza dei dati a un livello superiore.
In un'indagine dettagliata, l’emittente americana CNN ha interpellato alcuni team di sicurezza informatica provenienti da Asia, Europa e Stati Uniti, oltre a numerosi dipendenti ed ex dipendenti della stessa Pinduoduo, e diversi di essi hanno confermato la presenza di malware sull'app Pinduoduo, che sfruttava le vulnerabilità nei sistemi operativi Android.
Gli addetti ai lavori dell'azienda hanno affermato che gli exploit sono stati utilizzati per spiare utenti e concorrenti, presumibilmente per aumentare le vendite.
"Non abbiamo mai visto un'app tradizionale come questa tentare di aumentare i propri privilegi per ottenere l'accesso a cose a cui non dovrebbero accedere", ha affermato Mikko Hyppönen, Chief Research Officer di WithSecure, un'azienda finlandese di sicurezza informatica.
A seguito della scoperta che l'app conteneva il malware che comporta seri problemi alla sicurezza dei dati, nei giorni scorsi Google ha bloccato i download dell’app cinese nel Play Store invitando gli utenti a disinstallarla.
La prova della presenza di un malware sofisticato nell'app Pinduoduo arriva dopo le preoccupazioni sulla sicurezza dei dati per le app sviluppate in Cina come TikTok, il cui CEO Shou Chew era stato interrogato la scorsa settimana dal Congresso USA riguardo i suoi rapporti con il governo cinese.
È probabile che le rivelazioni attirino anche maggiore attenzione sull'app gemella internazionale di Pinduoduo, ovvero la app Temu, che è in cima alle classifiche dei download negli Stati Uniti e che si sta espandendo rapidamente anche in altri mercati occidentali.
Sia la app Pinduoduo che la app Temu sono entrambe sono di proprietà di PDD quotata al Nasdaq, una multinazionale con radici in Cina. Sebbene l’app Temu non sia stata direttamente implicata, le presunte intrusioni di Pinduoduo nella vita privata degli utenti rischiano di gettare un'ombra sull'espansione globale della sua app gemella. Non ci sono prove che Pinduoduo abbia consegnato i dati al governo cinese, ma poiché Pechino gode di una notevole influenza sulle imprese sotto la sua giurisdizione, i legislatori statunitensi temono che qualsiasi azienda operante in Cina possa essere costretta a cooperare con un'ampia gamma di attività di cybersecurity.