Malware in popolare app cinese installato volutamente per spiare gli utenti

Pinduoduo forse non dirà molto a noi europei, ma in Cina è una delle app più utilizzate con i suoi 750 milioni di utenti al mese. É un'app per lo shopping su cui si può trovare di tutto. E per questo è estremamente pericolosa. Un gruppo di ricercatori ha infatti scoperto che, una volta installata sul proprio smartphone, inizia a monitorare le attività degli utenti andando ben al di là della raccolta dati per la profilazione a scopi pubblicitari. In questo caso l'app ha proprio accesso ai dati personali, con tanto di possibilità di leggere i messaggi e addirittura di modificare le impostazioni del dispositivo.

In sostanza, l'app Pinduoduo conterrebbe del malware pronto a sfruttare le vulnerabilità di Android (parte di queste sono state risolte con le patch di marzo), la proprietà avrebbe in questo modo raccolto dati sui clienti con lo scopo di aumentare le vendite. E lo sguardo ora viene rivolto anche alla controparte internazionale di Pinduoduo, Temu, che negli Stati Uniti ha raggiunto il top della classifica su Play Store. Al momento non ci sono prove che anche la versione internazionale sia implicata in questa attività, è vero però che gli esperti la stanno monitorando da vicino per verificare che la proprietaria PDD Holdings (quotata al Nasdaq) non abbia inserito volutamente codice malevolo anche qui.

Accedere ai dati personali senza autorizzazione è da considerarsi un'attività illegale anche in Cina. Le prove che il malware sia presente nell'app cinese sono pressoché inconfutabili - e confermate da più parti - ma l'azienda continua a negare e a respingere le accuse.

In realtà sembra proprio che in azienda sia stato creato un team dedicato all'identificazione di vulnerabilità da sfruttare in Android per accedere ai dati personali degli utenti (posizione, contatti, calendario, notifiche, galleria) fin dal 2020. Si è privilegiato l'utente medio rurale, evitando per sicurezza quello che vive nelle grandi città. Il codice creato dal team di Pinduoduo è stato progettato per ottenere "una escalation dei privilegi" al fine di accedere a dati altrimenti non condivisibili: in tre anni l'azienda ha così raccolto una moltitudine di informazioni sui consumatori, interessi inclusi. Una volta dati in pasto al machine learning si è così potuto ottimizzare il sistema di annunci personalizzati.

Pur negando le accuse, con l'ultima versione di Pinduoduo sono stati rimossi gli exploit, mentre l'azienda ha sciolto il team che si occupava dell'identificazione di vulnerabilità da sfruttare. I ricercatori sono stati riallocati internamente ed ora si occupano dello sviluppo della versione globale Temu.