ეს არის ჩინეთის ერთ-ერთი ყველაზე პოპულარული სავაჭრო აპლიკაცია, რომელიც თვეში 750 მილიონზე მეტ მომხმარებელს ტანსაცმელს, სასურსათო პროდუქტებს და თითქმის ყველაფერს სთავაზობს. მაგრამ კიბერუსაფრთხოების მკვლევარების თქმით, მას ასევე შეუძლია გვერდი აუაროს მომხმარებლის მობილური ტელეფონის უსაფრთხოებას, რათა აკონტროლოს აქტივობები სხვა აპლიკაციებში, შეამოწმოს შეტყობინებები, წაიკითხოს პირადი შეტყობინებები და შეცვალოს პარამეტრები. და ინსტალაციის შემდეგ, მისი წაშლა რთულია.
მიუხედავად იმისა, რომ ბევრი აპლიკაცია აგროვებს მომხმარებლის მონაცემების უზარმაზარ რაოდენობას, ზოგჯერ მკაფიო თანხმობის გარეშე, ექსპერტები ამბობენ, რომ ელექტრონული კომერციის გიგანტმა Pinduoduo-მ კონფიდენციალურობისა და მონაცემთა უსაფრთხოების დარღვევები ახალ დონეზე აიყვანა. დეტალური გამოძიების ფარგლებში, CNN ესაუბრა ათობით კიბერუსაფრთხოების გუნდს აზიიდან, ევროპიდან და შეერთებული შტატებიდან — ასევე Pinduoduo-ს მრავალ ყოფილ და ამჟამინდელ თანამშრომელს — ინფორმაციის მიღების შემდეგ. მრავალმა ექსპერტმა Pinduoduo-ს აპლიკაციაში მავნე პროგრამის არსებობა დაადგინა, რომელიც Android ოპერაციული სისტემების სისუსტეებს იყენებდა. კომპანიის ინსაიდერების თქმით, ეს ექსპლოიტები გამოიყენებოდა მომხმარებლებისა და კონკურენტების სათვალთვალოდ, სავარაუდოდ, გაყიდვების გასაზრდელად.
„ჩვენ არ გვინახავს ასეთი მასშტაბის აპლიკაცია, რომელიც ცდილობდეს თავისი პრივილეგიების გაზრდას ისეთ რამეებზე წვდომის მოსაპოვებლად, რაზეც წვდომა არ უნდა ჰქონდეს“, — განაცხადა მიკო ჰიპონენმა, ფინური კიბერუსაფრთხოების ფირმა WithSecure-ის კვლევის მთავარმა ოფიცერმა. „ეს ძალზე უჩვეულოა და Pinduoduo-სთვის საკმაოდ დამანგრეველია“.
მავნე პროგრამა (malware), მავნე პროგრამული უზრუნველყოფის შემოკლებული ფორმა, ეხება ნებისმიერ პროგრამულ უზრუნველყოფას, რომელიც შექმნილია მონაცემების მოსაპარად ან კომპიუტერულ სისტემებსა და მობილურ მოწყობილობებში ჩარევისთვის. Pinduoduo-ს აპლიკაციაში დახვეწილი მავნე პროგრამის მტკიცებულება ჩნდება ჩინური წარმოების აპლიკაციების, როგორიცაა TikTok, ინტენსიური შემოწმების ფონზე, მონაცემთა უსაფრთხოებასთან დაკავშირებული შეშფოთების გამო. ზოგიერთი ამერიკელი კანონმდებელი მოითხოვს პოპულარული მოკლე ვიდეო აპლიკაციის ეროვნულ აკრძალვას, რომლის აღმასრულებელ დირექტორს, შოუ ჩიუს, გასულ კვირას კონგრესმა ხუთი საათის განმავლობაში დაკითხა ჩინეთის მთავრობასთან ურთიერთობის შესახებ. ეს გამოვლენები, სავარაუდოდ, უფრო მეტ ყურადღებას მიიპყრობს Pinduoduo-ს საერთაშორისო და-აპლიკაციის, Temu-ს მიმართ, რომელიც აშშ-ის ჩამოტვირთვების რეიტინგებში ლიდერობს და სწრაფად ფართოვდება სხვა დასავლურ ბაზრებზე. ორივე აპლიკაცია Nasdaq-ზე ჩამოთვლილი PDD-ის საკუთრებაა, მრავალეროვნული კომპანიის, რომლის ფესვები ჩინეთშია. მიუხედავად იმისა, რომ Temu არ არის ჩართული ამ საქმეში, Pinduoduo-ს სავარაუდო ქმედებები რისკავს ჩრდილის მიყენებას მისი და-აპლიკაციის გლობალურ გაფართოებაზე.
არ არსებობს მტკიცებულება, რომ Pinduoduo-მ მონაცემები ჩინეთის მთავრობას გადასცა. მაგრამ იმის გამო, რომ პეკინს მნიშვნელოვანი გავლენა აქვს თავის იურისდიქციაში მყოფ ბიზნესებზე, აშშ-ის კანონმდებლები შეშფოთებულნი არიან, რომ ჩინეთში მოქმედი ნებისმიერი კომპანია შეიძლება იძულებული გახდეს ითანამშრომლოს უსაფრთხოების ფართო სპექტრის აქტივობებში.
ეს აღმოჩენები მოჰყვა Google-ის მიერ Pinduoduo-ს Play Store-დან შეჩერებას მარტში, აპლიკაციის ვერსიებში აღმოჩენილი მავნე პროგრამის გამო. Bloomberg-ის შემდგომ ანგარიშში ნათქვამია, რომ რუსულმა კიბერუსაფრთხოების ფირმამ ასევე აღმოაჩინა პოტენციური მავნე პროგრამა აპლიკაციაში. Pinduoduo-მ ადრე უარყო „სპეკულაცია და ბრალდება, რომ Pinduoduo აპლიკაცია მავნეა“. CNN-მა PDD-ს მრავალჯერ დაუკავშირდა ელექტრონული ფოსტით და ტელეფონით კომენტარისთვის, მაგრამ პასუხი არ მიუღია.
წარმატების გზა
Pinduoduo, რომელიც მომხმარებელთა ბაზით ჩინეთის ონლაინ მოსახლეობის სამ მეოთხედს შეადგენს და საბაზრო ღირებულებით eBay-ს (EBAY) სამჯერ აღემატება, ყოველთვის არ იყო ონლაინ შოპინგის გიგანტი. 2015 წელს შანხაიში კოლინ ჰუანგის, Google-ის ყოფილი თანამშრომლის მიერ დაარსებული სტარტაპი იბრძოდა დამკვიდრებისთვის ბაზარზე, რომელსაც დიდი ხანია დომინირებდნენ ელექტრონული კომერციის გიგანტები Alibaba (BABA) და JD.com (JD). მან წარმატებას მიაღწია მეგობრებისა და ოჯახის ჯგუფური შესყიდვების შეკვეთებზე დიდი ფასდაკლებების შეთავაზებით და დაბალშემოსავლიან სოფლის რაიონებზე ფოკუსირებით. Pinduoduo-მ ყოველთვიური მომხმარებლების სამნიშნა ზრდა აჩვენა 2018 წლის ბოლომდე, იმ წელს, როდესაც ის ნიუ-იორკში განთავსდა. თუმცა, 2020 წლის შუა რიცხვებისთვის, ყოველთვიური მომხმარებლების ზრდა დაახლოებით 50%-მდე შენელდა და მისი შემოსავლების ანგარიშების მიხედვით, კვლავაც იკლებდა.
Pinduoduo-ს ამჟამინდელი თანამშრომლის თქმით, 2020 წელს კომპანიამ შექმნა დაახლოებით 100 ინჟინრისა და პროდუქტის მენეჯერისგან შემდგარი გუნდი, რათა ეძიათ სისუსტეები Android ტელეფონებში, შეემუშავებინათ მათი ექსპლუატაციის გზები — და ეს მოგებად ექციათ. წყაროს თქმით, რომელმაც ანონიმურობა მოითხოვა შურისძიების შიშის გამო, კომპანია თავდაპირველად მხოლოდ სოფლის რაიონებსა და პატარა ქალაქების მომხმარებლებს უმიზნებდა, ხოლო მეგაპოლისების, როგორიცაა პეკინი და შანხაი, მომხმარებლებს ერიდებოდა. „მიზანი იყო გამოვლენის რისკის შემცირება“, — განაცხადეს მათ. მომხმარებლის აქტივობების შესახებ ვრცელი მონაცემების შეგროვებით, კომპანიამ შეძლო მომხმარებლების ჩვევების, ინტერესებისა და პრეფერენციების ყოვლისმომცველი სურათის შექმნა, წყაროს თქმით. ამან საშუალება მისცა გაეუმჯობესებინა თავისი მანქანური სწავლების მოდელი, რათა შეეთავაზებინა უფრო პერსონალიზებული შეტყობინებები და რეკლამები, რაც მომხმარებლებს აპლიკაციის გახსნისა და შეკვეთების განთავსებისკენ უბიძგებდა, განაცხადეს მათ. გუნდი დაიშალა მარტის დასაწყისში, დაამატა წყარომ, მას შემდეგ, რაც მათი საქმიანობის შესახებ კითხვები გაჩნდა. PDD-მ არ უპასუხა CNN-ის განმეორებით მოთხოვნებს გუნდის შესახებ კომენტარისთვის.
რა აღმოაჩინეს ექსპერტებმა
CNN-ის მიმართვის შემდეგ, თელ-ავივში დაფუძნებული კიბერფირმა Check Point Research-ის, დელავერში დაფუძნებული აპლიკაციის უსაფრთხოების სტარტაპ Oversecured-ის და ჰიპონენის WithSecure-ის მკვლევარებმა ჩაატარეს აპლიკაციის 6.49.0 ვერსიის დამოუკიდებელი ანალიზი, რომელიც თებერვლის ბოლოს ჩინურ აპლიკაციების მაღაზიებში გამოვიდა. Google Play არ არის ხელმისაწვდომი ჩინეთში, და ქვეყანაში Android მომხმარებლები აპლიკაციებს ადგილობრივი მაღაზიებიდან იწერენ. მარტში, როდესაც Google-მა Pinduoduo შეაჩერა, მან განაცხადა, რომ აპლიკაციის არა-Play ვერსიებში მავნე პროგრამა აღმოაჩინა. მკვლევარებმა იპოვეს კოდი, რომელიც შექმნილია „პრივილეგიების ესკალაციის“ მისაღწევად: კიბერშეტევის ტიპი, რომელიც იყენებს დაუცველ ოპერაციულ სისტემას მონაცემებზე უფრო მაღალი დონის წვდომის მოსაპოვებლად, ვიდრე მას უნდა ჰქონდეს, ექსპერტების თქმით.
„ჩვენმა გუნდმა მოახდინა ამ კოდის უკუინჟინერია და შეგვიძლია დავადასტუროთ, რომ ის ცდილობს უფლებების ესკალაციას, ცდილობს წვდომა მოიპოვოს ისეთ რამეებზე, რისი გაკეთებაც ჩვეულებრივ აპლიკაციებს არ შეეძლოთ Android ტელეფონებზე“, — განაცხადა ჰიპონენმა. „აპლიკაციას შეეძლო გაეგრძელებინა მუშაობა ფონზე და ხელი შეეშალა საკუთარი თავის დეინსტალაციისთვის, რამაც მას საშუალება მისცა გაეზარდა ყოველთვიური აქტიური მომხმარებლის მაჩვენებლები“, — თქვა ჰიპონენმა. „მას ასევე ჰქონდა შესაძლებლობა, ეთვალთვალა კონკურენტებისთვის სხვა სავაჭრო აპლიკაციებზე აქტივობის თვალთვალით და მათგან ინფორმაციის მიღებით“, — დაამატა მან.
Check Point Research-მა დამატებით გამოავლინა გზები, რომლითაც აპლიკაციას შეეძლო შემოწმებისთვის თავის არიდება. აპლიკაციამ გამოიყენა მეთოდი, რომელიც საშუალებას აძლევდა განახლებების გაშვებას აპლიკაციების მაღაზიის განხილვის პროცესის გარეშე, რომელიც მავნე აპლიკაციების აღმოსაჩენად იყო განკუთვნილი, განაცხადეს მკვლევარებმა. მათ ასევე გამოავლინეს ზოგიერთ დანამატში პოტენციურად მავნე კომპონენტების დამალვის განზრახვა ლეგიტიმური ფაილების სახელების ქვეშ, როგორიცაა Google-ის. „ასეთი ტექნიკა ფართოდ გამოიყენება მავნე პროგრამების შემქმნელების მიერ, რომლებიც მავნე კოდს აყენებენ აპლიკაციებში, რომლებსაც ლეგიტიმური ფუნქციონირება აქვთ“, — განაცხადეს მათ.
Android-ის დამიზნება
ჩინეთში სმარტფონის მომხმარებელთა დაახლოებით სამი მეოთხედი Android სისტემას იყენებს. Apple (AAPL)-ის iPhone-ს ბაზრის 25% უკავია, Wedbush Securities-ის დენიელ აივსის თქმით. სერგეი ტოშინმა, Oversecured-ის დამფუძნებელმა, განაცხადა, რომ Pinduoduo-ს მავნე პროგრამა კონკრეტულად მიზნად ისახავდა სხვადასხვა Android-ზე დაფუძნებულ ოპერაციულ სისტემებს, მათ შორის Samsung-ის, Huawei-ს, Xiaomi-ის და Oppo-ს მიერ გამოყენებულებს. CNN-მა ამ კომპანიებს კომენტარისთვის მიმართა. ტოშინმა Pinduoduo აღწერა, როგორც „ყველაზე საშიში მავნე პროგრამა“, რომელიც ოდესმე აღმოჩენილა მასობრივ აპლიკაციებს შორის. „ასეთი რამ არასდროს მინახავს. ის, თითქოს, სუპერ ყოვლისმომცველია“, — თქვა მან.
ტელეფონების მწარმოებლების უმეტესობა გლობალურად არგებს Android-ის ძირითად პროგრამულ უზრუნველყოფას, Android Open Source Project (AOSP)-ს, რათა დაამატოს უნიკალური ფუნქციები და აპლიკაციები საკუთარ მოწყობილობებზე. ტოშინმა აღმოაჩინა, რომ Pinduoduo-მ გამოიყენა Android სისტემის დაახლოებით 50 სისუსტე. ექსპლოიტების უმეტესობა მორგებული იყო მორგებული ნაწილებისთვის, რომლებიც ცნობილია როგორც ორიგინალური აღჭურვილობის მწარმოებლის (OEM) კოდი, რომელიც AOSP-ზე ნაკლებად ხშირად მოწმდება და, შესაბამისად, უფრო მიდრეკილია სისუსტეებისკენ, თქვა მან. Pinduoduo-მ ასევე გამოიყენა AOSP-ის არაერთი სისუსტე, მათ შორის ერთი, რომელიც ტოშინმა Google-ს 2022 წლის თებერვალში შეატყობინა. Google-მა ეს შეცდომა მიმდინარე წლის მარტში გამოასწორა, თქვა მან. ტოშინის თქმით, ექსპლოიტებმა Pinduoduo-ს მომხმარებლების მდებარეობებზე, კონტაქტებზე, კალენდრებზე, შეტყობინებებზე და ფოტოალბომებზე წვდომა მისცა მათი თანხმობის გარეშე. მათ ასევე შეეძლოთ სისტემის პარამეტრების შეცვლა და მომხმარებლების სოციალური ქსელის ანგარიშებსა და ჩეთებზე წვდომა, თქვა მან. ექვსი გუნდიდან, რომლებსაც CNN ესაუბრა ამ ამბისთვის, სამმა სრული შემოწმება არ ჩაატარა. მაგრამ მათმა პირველადმა მიმოხილვებმა აჩვენა, რომ Pinduoduo-მ მოითხოვა დიდი რაოდენობით ნებართვები სავაჭრო აპლიკაციის ნორმალური ფუნქციების მიღმა. მათ შორის იყო „პოტენციურად ინვაზიური ნებართვები“, როგორიცაა „ფონის დაყენება“ და „ჩამოტვირთვა შეტყობინების გარეშე“, — განაცხადა რენე მაიროფერმა, ავსტრიის იოჰანეს კეპლერის ლინცის უნივერსიტეტის ქსელებისა და უსაფრთხოების ინსტიტუტის ხელმძღვანელმა.
გუნდის დაშლა
Pinduoduo-ს აპლიკაციაში მავნე პროგრამის შესახებ ეჭვები პირველად თებერვლის ბოლოს გაჩნდა ჩინური კიბერუსაფრთხოების ფირმა Dark Navy-ის ანგარიშში. მიუხედავად იმისა, რომ ანალიზში პირდაპირ არ იყო დასახელებული სავაჭრო გიგანტი, ანგარიში სწრაფად გავრცელდა სხვა მკვლევარებს შორის, რომლებმაც დაასახელეს კომპანია. ზოგიერთმა ანალიტიკოსმა შემდგომში საკუთარი ანგარიშები გამოაქვეყნა, რომლებიც ადასტურებდნენ თავდაპირველ აღმოჩენებს. მალევე, 5 მარტს, Pinduoduo-მ გამოაქვეყნა თავისი აპლიკაციის ახალი განახლება, ვერსია 6.50.0, რომელმაც ექსპლოიტები წაშალა, CNN-ის მიერ გამოკითხული ორი ექსპერტის თქმით. განახლებიდან ორი დღის შემდეგ, Pinduoduo-მ დაშალა ინჟინრებისა და პროდუქტის მენეჯერების გუნდი, რომლებმაც შეიმუშავეს ექსპლოიტები, Pinduoduo-ს წყაროს თანახმად. მეორე დღეს, გუნდის წევრებმა აღმოაჩინეს, რომ მათ დაბლოკილი ჰქონდათ Pinduoduo-ს სამუშაო კომუნიკაციის აპლიკაცია Knock-ზე წვდომა და დაკარგეს წვდომა კომპანიის შიდა ქსელში არსებულ ფაილებზე. ინჟინრებს ასევე გაუუქმდათ წვდომა დიდ მონაცემებზე, მონაცემთა ცხრილებსა და ჟურნალის სისტემაზე, განაცხადა წყარომ. გუნდის უმეტესობა გადაიყვანეს Temu-ში სამუშაოდ. ისინი შვილობილი კომპანიის სხვადასხვა განყოფილებაში გადანაწილდნენ, ზოგი მარკეტინგზე ან შეტყობინებების შემუშავებაზე მუშაობდა, წყაროს თქმით. დაახლოებით 20 კიბერუსაფრთხოების ინჟინრის ძირითადი ჯგუფი, რომლებიც სპეციალიზირებულნი არიან სისუსტეების პოვნასა და ექსპლუატაციაში, რჩებიან Pinduoduo-ში, განაცხადეს მათ. Oversecured-ის ტოშინმა, რომელმაც განახლება შეისწავლა, განაცხადა, რომ მიუხედავად იმისა, რომ ექსპლოიტები წაიშალა, ძირითადი კოდი კვლავ არსებობდა და მისი ხელახლა გააქტიურება შეიძლებოდა შეტევების განსახორციელებლად.
ზედამხედველობის ხარვეზი
Pinduoduo-მ შეძლო მომხმარებელთა ბაზის გაზრდა ჩინეთის მთავრობის მიერ Big Tech-ზე რეგულაციების გამკაცრების ფონზე, რომელიც 2020 წლის ბოლოს დაიწყო. იმ წელს, მრეწველობისა და ინფორმაციული ტექნოლოგიების სამინისტრომ დაიწყო ფართომასშტაბიანი რეიდები აპლიკაციების წინააღმდეგ, რომლებიც უკანონოდ აგროვებენ და იყენებენ პირად მონაცემებს. 2021 წელს პეკინმა მიიღო მონაცემთა კონფიდენციალურობის პირველი ყოვლისმომცველი კანონმდებლობა. პირადი ინფორმაციის დაცვის კანონი ადგენს, რომ არცერთ მხარეს არ უნდა შეეგროვებინა, დაემუშავებინა ან გადაეცა პირადი ინფორმაცია უკანონოდ. მათ ასევე ეკრძალებათ ინტერნეტთან დაკავშირებული უსაფრთხოების სისუსტეების გამოყენება ან კიბერუსაფრთხოებისთვის საშიში ქმედებების განხორციელება. Pinduoduo-ს აშკარა მავნე პროგრამა ამ კანონების დარღვევა იქნებოდა, ამბობენ ტექნოლოგიური პოლიტიკის ექსპერტები, და ის რეგულატორს უნდა აღმოეჩინა.
„ეს სამრეწველო და ინფორმაციული ტექნოლოგიების სამინისტროსთვის სამარცხვინო იქნებოდა, რადგან ეს მათი საქმეა“, — განაცხადა კენდრა შეფერმა, Trivium China-ს, საკონსულტაციო კომპანიის ტექნოლოგიური პოლიტიკის ექსპერტმა. „მათ Pinduoduo უნდა შეემოწმებინათ, და ის ფაქტი, რომ მათ (ვერაფერი) იპოვეს, სამარცხვინოა რეგულატორისთვის“.
სამინისტრო რეგულარულად აქვეყნებს სიებს, რათა დაასახელოს და გაკიცხოს აპლიკაციები, რომლებიც მომხმარებლის კონფიდენციალურობას ან სხვა უფლებებს ძირს უთხრიან. ის ასევე აქვეყნებს აპლიკაციების ცალკეულ სიას, რომლებიც ამოღებულია აპლიკაციების მაღაზიებიდან რეგულაციებთან შეუსაბამობის გამო. Pinduoduo არ გამოჩენილა არცერთ სიაში. CNN-მა კომენტარისთვის მიმართა მრეწველობისა და ინფორმაციული ტექნოლოგიების სამინისტროს და ჩინეთის კიბერსივრცის ადმინისტრაციას. ჩინურ სოციალურ მედიაში ზოგიერთმა კიბერუსაფრთხოების ექსპერტმა იკითხა, რატომ არ მიუღიათ რეგულატორებს არანაირი ზომა. „ალბათ, ჩვენი რეგულატორებიდან არცერთს არ ესმის კოდირება და პროგრამირება, არც ტექნოლოგია ესმით. თქვენ ვერც კი გაიგებთ მავნე კოდს, როდესაც ის…“
დისკუსია
0 კომენტარი
ჯერ კომენტარი არ არის — იყავი პირველი.