طبق دادههای Apptopia که با CNBC به اشتراک گذاشته شده است، تنها در 17 روز پس از راهاندازی، Temu از اینستاگرام، واتساپ، اسنپچت و شین در اپ استور اپل در ایالات متحده پیشی گرفت.
استفانی رینولدز | Afp | گتی ایماژ
ایالات متحده، سایت خرید تخفیفی Temu را به خطرات احتمالی داده متهم کرده است، پس از اینکه اپلیکیشن خواهر چینی آن از فروشگاه اپلیکیشن گوگل به دلیل “بدافزار” خارج شد – اما تحلیلگران می گویند که آنها چندان نگران نیستند.
یکی از تحلیلگران گفت، در مقایسه با Pinduoduo، که در ماه مارس توسط گوگل به حالت تعلیق درآمد، زیرا نسخه های ارائه شده در خارج از فروشگاه Play گوگل حاوی بدافزار بودند، Temu “آنقدرها هم تهاجمی نیست.”
بدافزار موجود در Pinduoduo از آسیبپذیریهای خاصی برای تلفنهای اندرویدی استفاده میکند و به برنامه اجازه میدهد مجوزهای امنیتی کاربر را دور بزند، به پیامهای خصوصی دسترسی داشته باشد، تنظیمات را تغییر دهد، دادههای سایر برنامهها را مشاهده کند و از حذف نصب جلوگیری کند.
گوگل آن را “برنامه مخرب شناسایی شده” نامید و از کاربران خواست برنامه Pinduoduo را حذف نصب کنند، اما خرده فروش آنلاین چینی این ادعاها را رد کرد.
بر اساس تجزیه و تحلیل کوین رید، مدیر ارشد امنیت اطلاعات در شرکت امنیت سایبری Acronis، Pinduoduo 83 مجوز از جمله دسترسی به بیومتریک، بلوتوث و اطلاعات در مورد شبکه های Wi-Fi را درخواست می کند.
رید که تجزیه و تحلیل خود را از هر دو برنامه با CNBC به اشتراک گذاشته است، گفت: «به نظر می رسد برخی از این مجوزهایی که Pinduoduo درخواست می کند برای یک برنامه تجارت الکترونیک غیرمنتظره باشد.
رید گفت: «اما تمو به اندازه پیندودو که درخواست انواع امتیازات را دارد، تهاجمی نیست.
Pinduoduo یک برنامه تجارت الکترونیک مستقر در چین است که همه چیز را از خواربار تا پوشاک می فروشد. این محصول پرچمدار شرکت چینی نزدک است PDD Holdings که مالک Temu نیز هست. دفتر مرکزی Temu در بوستون واقع شده است.
Pinduoduo در جمع آوری اطلاعات کاربران و انتقال آن به شرکت بسیار تهاجمی تر است.
کوین رید
افسر ارشد امنیت اطلاعات، Acronis
شان دوکا، معاون رئیس جمهور و رئیس منطقه گفت: “نیازی به ذخیره داده های بیومتریک در یک وب سایت یا برنامه تجارت الکترونیکی وجود ندارد. من شخصاً نمی خواهم داده های بیومتریک من در جای دیگری غیر از دستگاه من ذخیره شود.” افسر امنیتی آسیا و اقیانوسیه و ژاپن در شرکت امنیت سایبری Palo Alto Networks.
دوکا گفت: “بیومتریک ارزش بسیار بیشتری نسبت به هر چیز دیگری دارد، زیرا من نمی توانم به سادگی اثر انگشت خود را بر خلاف رمز عبور تغییر دهم.”
او همچنین این سوال را مطرح کرد که چرا دسترسی به اطلاعات Wi-Fi ضروری است. دوکا هشدار داد که اگر Wi-Fi شرکتی باشد که کاربر به آن متصل باشد، “به یک هدف بسیار سودآور برای مجرمان سایبری تبدیل خواهد شد، جایی که آنها شروع به دسترسی واقعی به این اطلاعات می کنند.” اما چرا یک ارائه دهنده تجارت الکترونیک واقعاً به آن نیاز دارد؟
تمو چه می کند؟
Temu، که کپیبرداری از لیبل شین فستمشن نامیده میشود، بازار ایالات متحده را غرق کرده است.
طبق دادههای Apptopia که با CNBC به اشتراک گذاشته شده است، تنها 17 روز پس از راهاندازی آن در ماه سپتامبر، این برنامه از اینستاگرام، واتساپ، اسنپچت و شین در اپ استور اپل در ایالات متحده پیشی گرفت. تنها چند هفته پس از ورود به استرالیا و نیوزلند، در ماه مارس در بریتانیا راه اندازی شد.
رید گفت: این واقعیت که Pinduoduo “حتی مجوزهای بیشتری نسبت به برنامه Temu درخواست کرده است، حتی اگر به نظر می رسد برنامه های مشابهی هستند.”
رید که ادعا میکند دادهها بدیهی است، گفت: «Pinduoduo در جمعآوری اطلاعات کاربران بسیار تهاجمیتر است. [transferred] بازگشت به شرکت.”
PDD Holdings به درخواست CNBC برای اظهار نظر در مورد این مجوزها پاسخ نداد.
رید گفت: در مقایسه، برنامه Temu برای 24 مجوز درخواست می کند. برخی از این مجوزها شامل دسترسی به بلوتوث و اطلاعات مربوط به شبکه های وای فای است.
من نسبت به پلتفرم های رسانه های اجتماعی مانند TikTok و Lemon8 کمتر نگران برنامه های خرید هستم.
لیندسی گورمن
همکار ارشد فناوری نوظهور، صندوق مارشال آلمان
دانیل تانوس گفت: “هیچ گزارشی مبنی بر عملکرد مخرب موجود در Play، App Store یا نسخه های شخص ثالث Temu وجود ندارد. کلیدهای مورد استفاده برای امضای بدافزار Pinduoduo همان کلیدهای مورد استفاده برای امضای برنامه Temu نیستند.” معاون رئیس جمهور و رئیس آزمایشگاه های Arctic Wolf، بازوی اطلاعات تهدیدات شرکت امنیت سایبری Arctic Wolf.
تانوس گفت: «بر اساس تجزیه و تحلیل ما، به نظر میرسد که این بدافزار عمدتاً کاربران چینی را هدف قرار میدهد، زیرا به نظر میرسد دستگاههایی را که معمولاً در چین فروخته میشوند و استفاده میشوند مانند شیائومی، ویوو، اوپو، سامسونگ و غیره و برنامههای مربوطه را هدف قرار میدهد.» هلدینگ PDD بلافاصله به درخواست CNBC برای اظهار نظر پاسخ نداد.
خطرات داده
در گزارشی در مورد پلتفرمهای «مد سریع» چین که در آوریل منتشر شد، کمیسیون بازبینی اقتصادی و امنیتی ایالات متحده و چین، Temu و Shein را به ایجاد خطرات احتمالی دادهها متهم کرد.
در این گزارش آمده است که Shein و Temu «در درجه اول به مصرفکنندگان آمریکایی که برنامههای چینی را دانلود و از آنها برای مدیریت و ارائه محصولات استفاده میکنند، متکی هستند.
این شرکت میگوید: «موفقیت تجاری این شرکتها هم پلتفرمهای تجارت الکترونیکی چینی و هم استارتآپهای چینی را تشویق کرده است که مدل آن را کپی کنند، که خطرات و چالشهایی را برای مقررات، قوانین و اصول دسترسی به بازار ایالات متحده ایجاد میکند».
برنامه های متعلق به چین به دلیل نگرانی های امنیتی در ایالات متحده به شدت مورد بررسی قرار می گیرند. قانونگذاران ایالات متحده هشدار داده اند که هر برنامه متعلق به چین ممکن است در برابر نقض حریم خصوصی داده ها یا دخالت دولت چین آسیب پذیر باشد.
در حالی که سیاستمداران اغلب شرکت های چینی را به تحویل داده ها به دولت چین متهم می کنند، هیچ مدرکی برای حمایت از چنین ادعاهایی وجود ندارد.
دوکا با اشاره به اینکه این بیشتر یک مشکل سیستمیک است، گفت: “اما یک بازی بزرگتر نیز در اینجا وجود دارد، که بسیاری از برنامه های دیگر که در مورد آنها صحبت نمی شود نیز اطلاعات جمع آوری می کنند و برای مدت بسیار طولانی این کار را انجام می دهند.”
یکی از تحلیلگران گفت که او چنین است نسبت به پلتفرمهای رسانههای اجتماعی مانند TikTok و اپلیکیشن خواهرش Lemon8، کمتر نگران اپلیکیشنهای خرید هستید.
از دیدگاه امنیت ملی، پلتفرمهای رسانههای اجتماعی علاوه بر ایجاد نمایههای کاربر با تمام این دادهها، توانایی انتخاب، تبلیغ و کاهش محتوا را بر اساس معیارهای غیرشفاف نیز دارند که در نهایت، ما واقعاً بینشی در مورد آن نداریم.» لیندسی گورمن، کارشناس ارشد فناوری نوظهور در صندوق مارشال آلمان گفت.
گورمن گفت: برای اپلیکیشنهای خرید، «نوع واقعی تأثیر محتوا» ممکن است شرکتهای چینی محصولات خود را تبلیغ کنند که «خطر کمتری برای دموکراسی احساس میکنند». او گفت در عوض، برنامههای رسانههای اجتماعی میتوانند محتوایی را درباره موضوعات سیاسی تبلیغ کنند که ردیابی آنها بسیار سختتر است.
TikTok پس از شهادت مدیر عاملش Shou Zi Chew در مقابل کنگره که نتوانست نگرانی قانونگذاران در مورد ارتباط این برنامه با چین یا کفایت پروژه تگزاس، برنامه آن برای ذخیره داده های ایالات متحده در خاک آمریکا را برطرف کند، با ممنوعیت احتمالی در ایالات متحده روبرو می شود.
Chew در این جلسه گفت: “ByteDance تحت مالکیت یا کنترل دولت چین نیست. این یک شرکت خصوصی است.”
در اولین مصاحبه عمومی خود از زمان استماع کنگره، چو در کنفرانس TED2023 هفته گذشته گفت: “ما در حال ساختن همه ابزارها برای جلوگیری از هر یک از [Chinese government interference in U.S. elections] از اتفاق افتادن.”
او گفت که «بسیار مطمئن است» که این ریسک را میتوان تا حد صفر کاهش داد و این شرکت با پروژه تگزاس «بسیار بسیار دور» است.
یکی دیگر از تحلیلگران، گلن گرستل، مشاور ارشد مرکز مطالعات استراتژیک و بین المللی، گفت که این برنامه ها “در نهایت توسط احزاب چینی کنترل می شوند و این همان چیزی است که سیستم سیاسی آمریکا قرار است روی آن متمرکز شود.” تنشهای ژئوپلیتیکی با چین همچنان اپلیکیشنهای چینی را تحت نظارت قرار میدهد.
گرستل گفت: “ممکن است اگر ما پیچیده تر شویم، بتوانیم یک برنامه را از برنامه دیگر متمایز کنیم و فضای امن تر، محدودتر و کنترل شده ای ایجاد کنیم. اما در حال حاضر، ما آن سیستم را نداریم.” .