Το Pinduoduo, μια από τις κορυφαίες πλατφόρμες shopping στην Κίνα, που προσφέρει ένα ευρύ φάσμα προϊόντων – από ρούχα μέχρι είδη παντοπωλείου και πολλά άλλα – φαίνεται πως περιέχει malware που στοχεύει στην κατασκοπεία χρηστών και ανταγωνιστών.

Ερευνητές κυβερνοασφάλειας έχουν προειδοποιήσει ότι το app μπορεί να παρακάμψει την ασφάλεια του κινητού τηλεφώνου για να παρατηρεί κρυφά τις δραστηριότητες σε άλλες εφαρμογές, να παρακολουθεί τις ειδοποιήσεις, να διαβάζει εμπιστευτικά μηνύματα και να τροποποιεί ρυθμίσεις. Επιπλέον, η απεγκάτασταση της εφαρμογής δεν είναι εύκολη.

Έχουμε ακούσει για πολλές εφαρμογές που συλλέγουν δεδομένα χρηστών κρυφά, αλλά σύμφωνα με τους ειδικούς, ο γίγαντας ηλεκτρονικού εμπορίου Pinduoduo έχε πάει τις παράνομες πρακτικές παρακολούθησης σε ένα εντελώς νέο επίπεδο.

Μετά από μια πληροφορία, το CNN διερεύνησε περαιτέρω το θέμα, προσεγγίζοντας ομάδες κυβερνοασφάλειας από την Ασία, την Ευρώπη και τις Ηνωμένες Πολιτείες καθώς και πρώην και νυν υπαλλήλους της Pinduoduo.

Σύμφωνα με πολλούς ειδικούς, η εφαρμογή Pinduoduo περιείχε κακόβουλο λογισμικό που εκμεταλλευόταν αδυναμίες σε Android συσκευές. Άτομα μέσα από την εταιρεία ισχυρίστηκαν ότι αυτά τα exploits χρησιμοποιούνταν για την κατασκοπεία χρηστών και ανταγωνιστών για ανταγωνιστικό κέρδος.

Δείτε επίσης: DISH: Πολλαπλές αγωγές μετά από επίθεση ransomware

Δεν έχουμε δει μια mainstream εφαρμογή όπως αυτή να προσπαθεί να κλιμακώσει τα προνόμιά της για να αποκτήσει πρόσβαση σε πράγματα στα οποία δεν έπρεπε να έχει πρόσβαση“, δήλωσε ο Mikko Hyppönen, επικεφαλής ερευνητής στη WithSecure, μια φινλανδική εταιρεία κυβερνοασφάλειας. “Αυτό είναι πολύ ασυνήθιστο και είναι αρκετά καταδικαστικό για τον Pinduoduo“.

Τα στοιχεία περί εξελιγμένου malware στην εφαρμογή Pinduoduo έρχονται σε μια περίοδο, όπου υπάρχει έντονος έλεγχος κινεζικών εφαρμογών, όπως το TikTok. Οι δυτικές κυβερνήσεις εκφράζουν έντονα τις ανησυχίες τους σχετικά με την ασφάλεια των δεδομένων των πολιτών τους.

Προς το παρόν, δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι το Pinduoduo έχει παραδώσει δεδομένα χρηστών στην κινεζική κυβέρνηση. Καθώς όμως το Πεκίνο μπορεί να αναγκάσει επιχειρήσεις που υπάγονται στη δικαιοδοσία του, να δώσουν πληροφορίες, υπάρχουν ανησυχίες από τους νομοθέτες των ΗΠΑ ότι οποιαδήποτε εταιρεία δραστηριοποιείται στην Κίνα θα μπορούσε να αναγκαστεί να συνεργαστεί με την κυβέρνηση.

Αξίζει να σημειωθεί, ότι τον περασμένο μήνα, η Google ανέστειλε το Pinduoduo από το Play Store μετά τον εντοπισμό κακόβουλου λογισμικού σε διάφορες εκδόσεις της εφαρμογής. Τα νέα ευρήματα επιβεβαιώνουν περαιτέρω αυτή την απόφαση.

Το Pinduoduo είχε προηγουμένως απορρίψει “την εικασία και την κατηγορία ότι η εφαρμογή Pinduoduo είναι κακόβουλη“.

Pinduoduo: Πώς εξελίχθηκε;

Το Pinduoduo, το οποίο διαθέτει μια τεράστια βάση χρηστών (τα τρία τέταρτα του διαδικτυακού πληθυσμού της Κίνας) και αγοραία αξία τριπλάσια από αυτή του eBay, δεν ήταν πάντα ένα μεγαθήριο διαδικτυακών αγορών.

Το 2015, ο Colin Huang, ένας πρώην εργαζόμενος της Google, ίδρυσε την εταιρεία με φιλόδοξο στόχο να αφήσει το στίγμα της στην αγορά ηλεκτρονικού εμπορίου, στην οποία κυριαρχούσαν οι Alibaba και JD.com.

Η εταιρεία το πέτυχε παρέχοντας μεγάλες εκπτώσεις στα προϊόντα και στοχεύοντας κυρίως στις πιο φτωχές αγροτικές περιοχές.

Η Pinduoduo σημείωσε μια αξιοσημείωτη τριψήφια αύξηση των μηνιαίων χρηστών μέχρι το τέλος του 2018. Παρ’ όλα αυτά, μέχρι τα μέσα του 2020 ο ρυθμός ανάπτυξής της είχε επιβραδυνθεί στο 50% περίπου, μια τάση που φάνηκε ότι θα συνεχιζόταν με βάση κάποιες οικονομικές εκθέσεις εκείνης της εποχής.

Σύμφωνα με έναν υπάλληλο της Pinduoduo, που θέλησε να διατηρήσει την ανωνυμία του (σύμφωνα με το CNN), το 2020 δημιουργήθηκε μια ομάδα 100 μηχανικών και διευθυντών προϊόντων για τον εντοπισμό αδυναμιών στα τηλέφωνα Android. Στη συνέχεια, η ομάδα αυτή σχεδίασε μεθόδους αξιοποίησης αυτών των ευπαθειών, ώστε να μπορούν να παράγουν έσοδα από αυτές. Ο υπάλληλος είπε ότι η εταιρεία αρχικά επικεντρώθηκε σε χρήστες σε αγροτικές περιοχές και μικρότερες πόλεις, ενώ απέφυγε τις μεγαλύτερες πόλεις όπως το Πεκίνο και η Σαγκάη.

Συλλέγοντας εκτεταμένα δεδομένα για τις δραστηριότητες των χρηστών, η εταιρεία κατάφερε να δημιουργήσει ένα ολοκληρωμένο πορτρέτο των συνηθειών, των ενδιαφερόντων και των προτιμήσεων των χρηστών.

Αυτό της επέτρεψε να βελτιώσει το μοντέλο μηχανικής εκμάθησης για να προσφέρει πιο εξατομικευμένες ειδοποιήσεις push και διαφημίσεις, προσελκύοντας τους χρήστες να ανοίξουν την εφαρμογή και να κάνουν παραγγελίες, σύμφωνα με τον υπάλληλο.

Η ομάδα διαλύθηκε στις αρχές Μαρτίου, αφού ήρθαν στο φως ερωτήσεις σχετικά με τις δραστηριότητές της.

Δείτε επίσης: Money Message: Το νέο ransomware που απαιτεί εκατομμύρια σε λύτρα

Τι λένε οι ερευνητές;

Αφού έλαβαν πρόσκληση από το CNN, οι ερευνητές των Check Point Research, Oversecured και WithSecure ανέλυσαν την έκδοση 6.49.0 της εφαρμογής που κυκλοφόρησε στα κινεζικά καταστήματα εφαρμογών στα τέλη Φεβρουαρίου.

Το Google Play δεν είναι διαθέσιμο στην Κίνα και οι χρήστες Android στη χώρα κατεβάζουν τις εφαρμογές τους από τοπικά καταστήματα. Τον Μάρτιο, όταν η Google ανέστειλε το Pinduoduo, αφού είπε ότι βρήκε κακόβουλο λογισμικό σε εκδόσεις off-Play της εφαρμογής.

Σύμφωνα με τους ειδικούς, ανακαλύφθηκε κώδικας που δημιουργήθηκε για την “κλιμάκωση προνομίων

“. Αυτός ο τύπος κυβερνοεπίθεσης εκμεταλλεύεται αδυναμίες σε (λειτουργικά) συστήματα προκειμένου να αποκτήσει πρόσβαση σε δεδομένα πέραν του εξουσιοδοτημένου επιπέδου.

Χάρη στην ικανότητα της εφαρμογής να παραμένει σε λειτουργία στο παρασκήνιο και να προστατεύεται από την αφαίρεση, τα ποσοστά των μηνιαίων ενεργών χρηστών της σημείωσαν αξιοσημείωτη αύξηση. Είχε επίσης ένα εντυπωσιακό ταλέντο στη συλλογή πληροφοριών για τους ανταγωνιστές, παρακολουθώντας τις άλλες εφαρμογές αγορών καθώς και λαμβάνοντας πληροφορίες από αυτούς, σημείωσε ο Hyppönen.

Επιπλέον, η Check Point Research αποκάλυψε μεθόδους για να αποφύγει η εφαρμογή με επιτυχία την ανίχνευση.

Επιπλέον, οι ερευνητές είπαν ότι η εφαρμογή ανέπτυξε μια μέθοδο που της επέτρεπε να προωθήσει ενημερώσεις χωρίς διαδικασία αναθεώρησης του καταστήματος εφαρμογών. Στόχος ήταν να μην εντοπιστούν τα κακόβουλα στοιχεία της.

Βασικός στόχος το Android

Στην Κίνα, περίπου τα τρία τέταρτα των χρηστών smartphone χρησιμοποιούν σύστημα Android. Το iOS της Apple έχει μερίδιο αγοράς 25%.

Ο Sergey Toshin, ιδρυτής της Overcured, είπε ότι το κακόβουλο λογισμικό του Pinduoduo στόχευε διαφορετικά λειτουργικά συστήματα που βασίζονται σε Android, συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται από τη Samsung, τη Huawei, τη Xiaomi και την Oppo.

Οι περισσότεροι κατασκευαστές τηλεφώνων παγκοσμίως προσαρμόζουν το βασικό λογισμικό Android, το Android Open Source Project (AOSP), για να προσθέσουν μοναδικές δυνατότητες και εφαρμογές στις δικές τους συσκευές.

Ο Toshin διαπίστωσε ότι το Pinduoduo έχει εκμεταλλευτεί περίπου 50 ευπάθειες του συστήματος Android. Τα περισσότερα από τα exploits ήταν σχεδιασμένα για customized parts γνωστά ως original equipment manufacturer (OEM) code, ο οποίος τείνει να ελέγχεται λιγότερο συχνά από τον AOSP και επομένως είναι πιο επιρρεπής σε ευπάθειες, είπε.

Δείτε επίσης: Sun Pharmaceuticals: Επιβεβαίωσε την επίθεση ransomware

Το Pinduoduo εκμεταλλεύτηκε επίσης αδυναμίες του AOSP, συμπεριλαμβανομένης μιας που επισημάνθηκε από τον Toshin στην Google τον Φεβρουάριο του 2022. Η Google διόρθωσε το σφάλμα αυτόν τον Μάρτιο.

Σύμφωνα με τον ειδικό, η κινεζική εφαρμογή Pinduoduo εκμεταλλεύτηκε τις αδυναμίες των Android συσκευών για να αποκτήσει πρόσβαση σε τοποθεσίες, επαφές, συμβάντα ημερολογίου, ειδοποιήσεις και άλμπουμ φωτογραφιών των χρηστών χωρίς τη γνώση ή την έγκρισή τους. Επιπλέον, η εταιρεία ήταν σε θέση να μεταβάλλει τις ρυθμίσεις του συστήματος, καθώς και να αποκτά πρόσβαση στους λογαριασμούς και τις συνομιλίες των ανθρώπων στα κοινωνικά δίκτυα.

Αξίζει να σημειωθεί ότι ήδη από τα τέλη Φεβρουαρίου, μια κινεζική εταιρεία κυβερνοασφάλειας γνωστή ως Dark Navy δημοσίευσε μια ερευνητική έκθεση που έκανε λόγο για παρουσία malware στην shopping εφαρμογή της Pinduoduo. Ενώ αυτή η αρχική ανάλυση δεν κατονόμασε ρητά την εφαρμογή, άλλοι ερευνητές το έκαναν επιβεβαιώνοντας αυτά τα ευρήματα με πρόσθετα στοιχεία από τις δικές τους έρευνες.

Στις 5 Μαρτίου, η Pinduoduo κυκλοφόρησε μια ενημερωμένη έκδοση της εφαρμογής της (6.50.0), η οποία εξάλειψε τα exploits, όπως επιβεβαίωσαν δύο ειδικοί σε επικοινωνία με το CNN.

Δύο ημέρες μετά την ενημέρωση, η Pinduoduo διέλυσε την ομάδα των μηχανικών και των διαχειριστών προϊόντων που ήταν υπεύθυνοι για τη δημιουργία αυτών των exploits, όπως ανέφερε η πηγή από την εταιρεία στο CNN.

Μια βασική ομάδα περίπου 20 μηχανικών κυβερνοασφάλειας που ειδικεύονται στην εύρεση και εκμετάλλευση ευπαθειών, όμως, παραμένει στην εταιρεία.

Ο Toshin της Overcured, ο οποίος εξέτασε τη νέα ενημέρωση, είπε ότι παρόλο που τα exploits καταργήθηκαν, ο υποκείμενος κώδικας ήταν ακόμα εκεί και θα μπορούσε να ενεργοποιηθεί εκ νέου για να πραγματοποιήσει επιθέσεις.

Στη σημερινή ψηφιακή εποχή, το malware είναι μια διαρκώς αυξανόμενη απειλή για τα συστήματα υπολογιστών και φορητές συσκευές. Τα καλά νέα είναι ότι η προστασία μας από κακόβουλο λογισμικό είναι δυνατή με τα σωστά βήματα. Από τη διατήρηση των λειτουργικών συστημάτων και του λογισμικού μας ενημερωμένα μέχρι την εγκατάσταση λογισμικού προστασίας από ιούς και τη χρήση VPN, υπάρχουν πολλά βήματα που μπορούμε να κάνουμε για να προστατέψουμε τις συσκευές μας. Με το να είμαστε σε εγρήγορση και να λαμβάνουμε προληπτικά μέτρα, μπορούμε να απολαμβάνουμε τα οφέλη της χρήσης της τεχνολογίας χωρίς φόβο για απειλές στον κυβερνοχώρο!

Πηγή: edition.cnn.com