Pri používaní aplikácií musíme súhlasiť s viacerými povoleniami. Viacerí už poukázali na to, že Temu chce mať prakticky moc nad vaším telefónom.
Veľa ľudí sa však pozerá na situáciu tak, že veď predsa aj tak nakupujeme všetko čínske a Facebook tiež zbiera naše dáta a nevadí nám to. Tak prečo by nám to malo prekážať pri Temu?
Čínska armáda má prepojenia na hackerov
Veľmi zaujímavú analýzu urobil Grizzly report a komplexne sa na platformu pozrel aj marketingový špecialista Martin Bulák.
„V prvom rade treba uviesť, že čínske firmy môžu podnikať len vtedy, ak všetky svoje databázy sprístupnia úradom. Zároveň treba povedať, že čínska armáda má historicky veľmi úzke prepojenia na čínskych hackerov, ktorí podnikajú hackerské útoky na západné krajiny. Nič takéto neexistuje v Spojených štátoch a napr. Apple je známe tým, že odmieta FBI odomykať aj jednotlivé zariadenia. V rámci aktuálnej geopolitickej situácie sa dá predpokladať, že čínska vláda by mala veľký záujem o dáta z aplikácie, ktoré vie používať na špehovanie zahraničných vládnych pracovníkov, členov armády, ale aj na špehovanie komunikácie čínskych expatov s akýmikoľvek ľuďmi z Číny. Stačí len naliať „big data“ do AI modelu a systém im už vypľuje všetko čo potrebujú,“ uvádza špecialista.
Čo nesedí na Temu?
Bulák poukázal na to, že používa tie najagresívnejšie formy propagácie, vrátane určitej formy scamov, teda reťazových e-mailov len za tým účelom, aby si ich aplikáciu nainštalovalo čo najviac ľudí. Sto miliónov stiahnutí dosiahla ešte v minulom roku v USA a Európe, v Číne sa aplikácia neponúka.
„Podľa nezávislých odhadov Temu stráca 30 dolárov na každej objednávke. Ich oficiálny biznis model z hľadiska predaja je teda neudržateľný a nedáva ani žiadny zmysel,“ pokračuje Bulák.
Majiteľ Temu, spoločnosť PDD, má aktuálne trhovú hodnotu 300 miliárd eur, no oficiálne nemá žiadneho finančného riaditeľa, teda nikoho, kto by sa za niečo zodpovedal. Aj ich oficiálne informácie o počte zamestnancov vyznievajú nedôveryhodne a viacerí upozorňujú na to, že sú porušované ich práva a musia používať pseudonymy.
Vedia vás lokalizovať na úrovni niekoľkých metrov
Zo samotných zabudovaných hrozieb je podľa špecialistu jedna z najväčších dynamická funkcia kompilovania balíkov spúšťaných s getRuntime.exec().
„V preklade to znamená, že táto aplikácia môže kedykoľvek vytvoriť nové spustiteľné aplikácie do vášho zariadenia. Temu neštandardne vyžaduje prístup nielen k svojim vlastným súborom aplikácie, ale ku všetkým externým súborom, čiže aj vašim chat logom, fotkám, používateľskému obsahu a pod.,“ ozrejmil vo svojom príspevku Bulák.
Android napríklad implementoval funkciu ACCESS_COARSE_LOCATION pre aplikácie, vďaka čomu by mali k dispozícii obmedzené informácie o lokalite, ak to potrebujú. Temu to však ignoruje a používa ACCESS_FINE_LOCATION, čím vás vedia lokalizovať na úrovni niekoľkých metrov.
Dostane sa aj k tajným zákutiam zariadenia
Aplikácia Temu tiež preveruje, či zariadenie má „root“ prístup. Ak áno, tak aplikácia má prístup nielen k samotným súborom, ale vie meniť aj všetko v rámci samotného jadra operačného zariadenia telefónu.
„Aplikácia obsahuje funkciu Debug.isDebuggerConnected(), vďaka ktorej detekuje, či niekto analyzuje jej zdrojový kód, vďaka čomu vie následne meniť svoje iné funkcie alebo správanie,“ upozorňuje ďalej marketingový špecialista.
Temu číta aj systémové logy zariadenia. To znamená, že nepristupuje len k svojim logom, ale k logom zariadenia, ktoré obsahujú veľmi detailné informácie o každej činnosti. „V podstate je to taký tajný denníček zariadenia, ku ktorému by takáto aplikácia nemala prečo pristupovať,“ dodáva Bulák.
Nepoužíva žiadne šifrovanie
Čínska aplikácia tiež číta a aktívne ukladá vašu MAC adresu (unikátna adresa zariadenia) a informácie o zariadení a posiela ich na server, čo by tiež nemala potrebovať. Zároveň má prístup k vašej kamere ako aj k funkcii RECORD_AUDIO, čím môže kedykoľvek zaznamenávať okolité zvuky.
Bulák tiež poukázal na ďalší fakt, že Temu ako keby zámerne nepoužíval žiadne šifrovanie. Takže keď dáte aplikácii povolenie na to, aby mal prístup k súborom, vaše dáta sa môžu prenášať bez akéhokoľvek šifrovania.
Pribúdajú nespokojní zákazníci
Neustále pribúdajú nespokojní zákazníci, ktorí tvrdia, že im Temu bezdôvodne sťahuje peniaze z karty, ktorou platili predchádzajúci nákup.
„Aby som to teda zhrnul ešte raz pre tých, ktorí tvrdili, že aj tak nakupujeme všetko čínske,“ hovorí Martin Bulák a pokračuje: „áno, je rozdiel, či si kúpite hračku pre dospelých made in china alebo si stiahnete appku made in china. Aj keď ani pri tom prvom by som si nebol úplne istý.“
Veľa aplikácií je nebezpečných, no niektoré ešte viac
| Bezpečnostný problém | TEMU | SHEIN | Alibaba.com | Amazon | TikTok | eBay |
|---|---|---|---|---|---|---|
| Lokálna kompilácia s “package compile” vykonaná pomocou getRuntime.exec() | Áno | Nie | Nie | Nie | Nie | Nie |
| Žiadosť o informáciu, či aplikácia beží s právami root (“superuser”) | Áno | Áno | Áno | Áno | Nie | Nie |
| Požiadavka na zoznam procesov pomocou “getRunningAppProcesses()” | Áno | Áno | Áno | Áno | Áno | Nie |
| Žiadosť o systémové logy z “/system/bin/logcat” | Áno | Áno | Nie | Áno | Nie | Nie |
| Prístup k statusu debuggeru pomocou “Debug.isDebuggerConnected()” | Áno | Áno | Nie | Áno | Nie | Nie |
| Čítanie a zápis systémových súborov v “sys/devices/” | Áno | Áno | Áno | Áno | Nie | Nie |
| Prístup k externému úložisku pomocou “ExternalStorage” | Áno | Áno | Áno | Áno | Áno | Áno |
| Vytváranie snímok obrazovky (“getRootView()”, “peekDecorView()” v “getWindow()”) | Áno | Áno | Áno | Áno | Áno | Áno |
| Žiadosť o MAC adresu | Áno | Áno | Áno | Áno | Áno | Áno |
| Vkladanie MAC adresy do JSON na odoslanie informácie na server | Áno | Nie | Áno | Áno | Nie | Áno |
| Zakódovanie kódu s väčšinou JAVA kódu: nepomenované súbory, priečinky, funkcie | Áno | Áno | Áno | Áno | Áno | Áno |
| android.permission.CAMERA | Áno | Nie | Áno | Áno | Áno | Áno |
| android.permission.WRITE_EXTERNAL_STORAGE | Áno | Áno | Áno | Áno | Áno | Áno |
| android.permission.RECORD_AUDIO | Áno | Nie | Áno | Áno | Áno | Nie |
| android.permission.INSTALL_PACKAGES | Áno | Nie | Áno | Áno | Nie | Nie |
| android.permission.INTERNET | Áno | Áno | Áno | Áno | Áno | Áno |
| android.permission.WAKE_LOCK | Áno | Áno | Áno | Áno | Áno | Áno |
| Vkladanie informácií o polohe do JSON na odoslanie informácie na server | Áno | Áno | Áno | Nie | Áno | Nie |
Zdroj: grizzlyreports.com
