ایالات متحده، سایت خرید تخفیفی Temu را به خطرات احتمالی داده متهم کرده است، پس از اینکه اپلیکیشن خواهر چینی آن از فروشگاه اپلیکیشن گوگل به دلیل “بدافزار” خارج شد – اما تحلیلگران می گویند که آنها چندان نگران نیستند.

یکی از تحلیلگران گفت، در مقایسه با Pinduoduo، که در ماه مارس توسط گوگل به حالت تعلیق درآمد، زیرا نسخه های ارائه شده در خارج از فروشگاه Play گوگل حاوی بدافزار بودند، Temu “آنقدرها هم تهاجمی نیست.”

بدافزار موجود در Pinduoduo از آسیب‌پذیری‌های خاصی برای تلفن‌های اندرویدی استفاده می‌کند و به برنامه اجازه می‌دهد مجوزهای امنیتی کاربر را دور بزند، به پیام‌های خصوصی دسترسی داشته باشد، تنظیمات را تغییر دهد، داده‌های سایر برنامه‌ها را مشاهده کند و از حذف نصب جلوگیری کند.

گوگل آن را “برنامه مخرب شناسایی شده” نامید و از کاربران خواست برنامه Pinduoduo را حذف نصب کنند، اما خرده فروش آنلاین چینی این ادعاها را رد کرد.

بر اساس تجزیه و تحلیل کوین رید، مدیر ارشد امنیت اطلاعات در شرکت امنیت سایبری Acronis، Pinduoduo 83 مجوز از جمله دسترسی به بیومتریک، بلوتوث و اطلاعات در مورد شبکه های Wi-Fi را درخواست می کند.

رید که تجزیه و تحلیل خود را از هر دو برنامه با CNBC به اشتراک گذاشته است، گفت: «به نظر می رسد برخی از این مجوزهایی که Pinduoduo درخواست می کند برای یک برنامه تجارت الکترونیک غیرمنتظره باشد.

رید گفت: «اما تمو به اندازه پیندودو که درخواست انواع امتیازات را دارد، تهاجمی نیست.

Pinduoduo یک برنامه تجارت الکترونیک مستقر در چین است که همه چیز را از خواربار تا پوشاک می فروشد. این محصول پرچمدار شرکت چینی نزدک است PDD Holdings که مالک Temu نیز هست. دفتر مرکزی Temu در بوستون واقع شده است.

شان دوکا، معاون رئیس جمهور و رئیس منطقه گفت: “نیازی به ذخیره داده های بیومتریک در یک وب سایت یا برنامه تجارت الکترونیکی وجود ندارد. من شخصاً نمی خواهم داده های بیومتریک من در جای دیگری غیر از دستگاه من ذخیره شود.” افسر امنیتی آسیا و اقیانوسیه و ژاپن در شرکت امنیت سایبری Palo Alto Networks.

دوکا گفت: “بیومتریک ارزش بسیار بیشتری نسبت به هر چیز دیگری دارد، زیرا من نمی توانم به سادگی اثر انگشت خود را بر خلاف رمز عبور تغییر دهم.”

او همچنین این سوال را مطرح کرد که چرا دسترسی به اطلاعات Wi-Fi ضروری است. دوکا هشدار داد که اگر Wi-Fi شرکتی باشد که کاربر به آن متصل باشد، “به یک هدف بسیار سودآور برای مجرمان سایبری تبدیل خواهد شد، جایی که آنها شروع به دسترسی واقعی به این اطلاعات می کنند.” اما چرا یک ارائه دهنده تجارت الکترونیک واقعاً به آن نیاز دارد؟

Temu، که کپی‌برداری از لیبل شین فست‌مشن نامیده می‌شود، بازار ایالات متحده را غرق کرده است.

طبق داده‌های Apptopia که با CNBC به اشتراک گذاشته شده است، تنها 17 روز پس از راه‌اندازی آن در ماه سپتامبر، این برنامه از اینستاگرام، واتس‌اپ، اسنپ‌چت و شین در اپ استور اپل در ایالات متحده پیشی گرفت. تنها چند هفته پس از ورود به استرالیا و نیوزلند، در ماه مارس در بریتانیا راه اندازی شد.

رید گفت: این واقعیت که Pinduoduo “حتی مجوزهای بیشتری نسبت به برنامه Temu درخواست کرده است، حتی اگر به نظر می رسد برنامه های مشابهی هستند.”

رید که ادعا می‌کند داده‌ها بدیهی است، گفت: «Pinduoduo در جمع‌آوری اطلاعات کاربران بسیار تهاجمی‌تر است. [transferred] بازگشت به شرکت.”

PDD Holdings به درخواست CNBC برای اظهار نظر در مورد این مجوزها پاسخ نداد.

رید گفت: در مقایسه، برنامه Temu برای 24 مجوز درخواست می کند. برخی از این مجوزها شامل دسترسی به بلوتوث و اطلاعات مربوط به شبکه های وای فای است.

دانیل تانوس گفت: “هیچ گزارشی مبنی بر عملکرد مخرب موجود در Play، App Store یا نسخه های شخص ثالث Temu وجود ندارد. کلیدهای مورد استفاده برای امضای بدافزار Pinduoduo همان کلیدهای مورد استفاده برای امضای برنامه Temu نیستند.” معاون رئیس جمهور و رئیس آزمایشگاه های Arctic Wolf، بازوی اطلاعات تهدیدات شرکت امنیت سایبری Arctic Wolf.

تانوس گفت: «بر اساس تجزیه و تحلیل ما، به نظر می‌رسد که این بدافزار عمدتاً کاربران چینی را هدف قرار می‌دهد، زیرا به نظر می‌رسد دستگاه‌هایی را که معمولاً در چین فروخته می‌شوند و استفاده می‌شوند مانند شیائومی، ویوو، اوپو، سامسونگ و غیره و برنامه‌های مربوطه را هدف قرار می‌دهد.» هلدینگ PDD بلافاصله به درخواست CNBC برای اظهار نظر پاسخ نداد.

در گزارشی در مورد پلتفرم‌های «مد سریع» چین که در آوریل منتشر شد، کمیسیون بازبینی اقتصادی و امنیتی ایالات متحده و چین، Temu و Shein را به ایجاد خطرات احتمالی داده‌ها متهم کرد.

در این گزارش آمده است که Shein و Temu «در درجه اول به مصرف‌کنندگان آمریکایی که برنامه‌های چینی را دانلود و از آنها برای مدیریت و ارائه محصولات استفاده می‌کنند، متکی هستند.

این شرکت می‌گوید: «موفقیت تجاری این شرکت‌ها هم پلتفرم‌های تجارت الکترونیکی چینی و هم استارت‌آپ‌های چینی را تشویق کرده است که مدل آن را کپی کنند، که خطرات و چالش‌هایی را برای مقررات، قوانین و اصول دسترسی به بازار ایالات متحده ایجاد می‌کند».

برنامه های متعلق به چین به دلیل نگرانی های امنیتی در ایالات متحده به شدت مورد بررسی قرار می گیرند. قانونگذاران ایالات متحده هشدار داده اند که هر برنامه متعلق به چین ممکن است در برابر نقض حریم خصوصی داده ها یا دخالت دولت چین آسیب پذیر باشد.

در حالی که سیاستمداران اغلب شرکت های چینی را به تحویل داده ها به دولت چین متهم می کنند، هیچ مدرکی برای حمایت از چنین ادعاهایی وجود ندارد.

دوکا با اشاره به اینکه این بیشتر یک مشکل سیستمیک است، گفت: “اما یک بازی بزرگتر نیز در اینجا وجود دارد، که بسیاری از برنامه های دیگر که در مورد آنها صحبت نمی شود نیز اطلاعات جمع آوری می کنند و برای مدت بسیار طولانی این کار را انجام می دهند.”

یکی از تحلیلگران گفت که او چنین است نسبت به پلتفرم‌های رسانه‌های اجتماعی مانند TikTok و اپلیکیشن خواهرش Lemon8، کمتر نگران اپلیکیشن‌های خرید هستید.

از دیدگاه امنیت ملی، پلتفرم‌های رسانه‌های اجتماعی علاوه بر ایجاد نمایه‌های کاربر با تمام این داده‌ها، توانایی انتخاب، تبلیغ و کاهش محتوا را بر اساس معیارهای غیرشفاف نیز دارند که در نهایت، ما واقعاً بینشی در مورد آن نداریم.» لیندسی گورمن، کارشناس ارشد فناوری نوظهور در صندوق مارشال آلمان گفت.

گورمن گفت: برای اپلیکیشن‌های خرید، «نوع واقعی تأثیر محتوا» ممکن است شرکت‌های چینی محصولات خود را تبلیغ کنند که «خطر کمتری برای دموکراسی احساس می‌کنند». او گفت در عوض، برنامه‌های رسانه‌های اجتماعی می‌توانند محتوایی را درباره موضوعات سیاسی تبلیغ کنند که ردیابی آن‌ها بسیار سخت‌تر است.

TikTok پس از شهادت مدیر عاملش Shou Zi Chew در مقابل کنگره که نتوانست نگرانی قانونگذاران در مورد ارتباط این برنامه با چین یا کفایت پروژه تگزاس، برنامه آن برای ذخیره داده های ایالات متحده در خاک آمریکا را برطرف کند، با ممنوعیت احتمالی در ایالات متحده روبرو می شود.

Chew در این جلسه گفت: “ByteDance تحت مالکیت یا کنترل دولت چین نیست. این یک شرکت خصوصی است.”

در اولین مصاحبه عمومی خود از زمان استماع کنگره، چو در کنفرانس TED2023 هفته گذشته گفت: “ما در حال ساختن همه ابزارها برای جلوگیری از هر یک از [Chinese government interference in U.S. elections] از اتفاق افتادن.”

او گفت که «بسیار مطمئن است» که این ریسک را می‌توان تا حد صفر کاهش داد و این شرکت با پروژه تگزاس «بسیار بسیار دور» است.

یکی دیگر از تحلیلگران، گلن گرستل، مشاور ارشد مرکز مطالعات استراتژیک و بین المللی، گفت که این برنامه ها “در نهایت توسط احزاب چینی کنترل می شوند و این همان چیزی است که سیستم سیاسی آمریکا قرار است روی آن متمرکز شود.” تنش‌های ژئوپلیتیکی با چین همچنان اپلیکیشن‌های چینی را تحت نظارت قرار می‌دهد.

گرستل گفت: “ممکن است اگر ما پیچیده تر شویم، بتوانیم یک برنامه را از برنامه دیگر متمایز کنیم و فضای امن تر، محدودتر و کنترل شده ای ایجاد کنیم. اما در حال حاضر، ما آن سیستم را نداریم.” .