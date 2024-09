Pri používaní aplikácií musíme súhlasiť s viacerými povoleniami. Viacerí už poukázali na to, že Temu chce mať prakticky moc nad vaším telefónom.

Veľa ľudí sa však pozerá na situáciu tak, že veď predsa aj tak nakupujeme všetko čínske a Facebook tiež zbiera naše dáta a nevadí nám to, tak prečo by nám to malo vadiť pri Temu?

Čínska armáda má prepojenia na hackerov

Veľmi zaujímavú analýzu urobil Grizzly report a komplexne sa na platformu pozrel aj marketingový špecialista Martin Bulák.

„V prvom rade treba uviesť, že čínske firmy môžu podnikať len vtedy, ak všetky svoje databázy sprístupnia úradom. Zároveň treba povedať, že čínska armáda má historicky veľmi úzke prepojenia na čínskych hackerov, ktorí podnikajú hackerské útoky na západné krajiny. Nič takéto neexistuje v Spojených štátoch a napr. Apple je známe tým, že odmieta FBI odomykať aj jednotlivé zariadenia. V rámci aktuálnej geopolitickej situácie sa dá predpokladať, že čínska vláda by mala veľký záujem o dáta z aplikácie, ktoré vie používať na špehovanie zahraničných vládnych pracovníkov, členov armády, ale aj na špehovanie komunikácie čínskych expatov s akýmikoľvek ľuďmi z Číny. Stačí len naliať „big data“ do AI modelu a systém im už vypľuje všetko čo potrebujú,“ uvádza špecialista.

Čo nesedí na Temu?

Používa najagresívnejšie formy propagácie, vrátane určitej formy scamov – reťazových mailov len za tým účelom, aby si ich aplikáciu nainštalovalo čo najviac ľudí. Sto miliónov stiahnutí dosiahla už dávno, všetko v USA a Európe. V Číne sa aplikácia neponúka.

Podľa nezávislých odhadov TEMU stráca 30 dolárov na každej objednávke. Ich oficiálny biznis model z hľadiska predaja je teda neudržateľný a nedáva ani žiadny zmysel.

Majiteľ TEMU, spoločnosť PDD, má aktuálne trhovú hodnotu 300 miliárd eur, no oficiálne nemá žiadneho finančného riaditeľa, teda nikoho kto by sa za niečo zodpovedal. Oficiálne uvádzajú aj nedôveryhodné informácie o počte svojich zamestnancov.

Vedia vás lokalizovať na úrovni niekoľkých metrov

Zo samotných zabudovaných hrozieb je jedna z najväčších dynamická funkcia kompilovania balíkov spúšťaných s getRuntime.exec(). To v preklade znamená, že táto aplikácia môže kedykoľvek vytvoriť nové spustiteľné aplikácie do vášho zariadenia.

TEMU neštandardne vyžaduje prístup nielen k svojim vlastným súborom aplikácie, ale ku všetkým externým súborom, čiže aj vašim chat logom, fotkám, používateľskému obsahu a pod.

Android implementoval funkciu ACCESS_COARSE_LOCATION pre aplikácie, aby mali k dispozícii obmedzené informácie o lokalite, ak to potrebujú. TEMU toto ignoruje a používa ACCESS_FINE_LOCATION, vďaka čomu vás vedia lokalizovať na úrovni niekoľkých metrov.

Dostane sa aj k tajnému zariadeniu

Aplikácia TEMU preveruje, či zariadenie má „root“ prístup. V prípade že tomu tak je, táto aplikácia nemá prístup len k samotným súborom, ale vie meniť aj všetko v rámci samotného jadra operačného zariadenia telefónu.

Aplikácia obsahuje funkciu Debug.isDebuggerConnected(), vďaka ktorej detekuje, či niekto analyzuje jej zdrojový kód, vďaka čomu vie následne meniť svoje iné funkcie alebo správanie.

TEMU číta systémové logy zariadenia. Teda nepristupuje len k svojim logom, ale k logom zariadenia, ktoré obsahujú veľmi detailné informácie o každej činnosti. Je to taký tajný denníček zariadenia, ku ktorému by takáto appka nemala prečo pristupovať.

Nepoužíva žiadne šifrovanie

TEMU číta a aktívne ukladá vašu MAC adresu (unikátna adresa zariadenia) a informácie o zariadení a posiela ich na server. Na čo nákupná aplikácia potrebuje detailné informácie o vašom zariadení?

Zároveň má prístup k vašej kamere ako aj k funkcii RECORD_AUDIO, teda môže kedykoľvek zaznamenávať okolité zvuky. Znovu tá istá otázka, na čo je niečo takéto nákupnej aplikácii.

TEMU ako keby zámerne nepoužíva žiadne šifrovanie. Ak appke dáte povolenie na prístup k súborom, vaše dáta sa môžu prenášať bez akéhokoľvek šifrovania.

Pribúdajú nespokojní zákazníci

Neustále pribúdajú nespokojní zákazníci, ktorí tvrdia, že im Temu bezdôvodne sťahuje peniaze z karty, ktorou platili predchádzajúci nákup.

„Aby som to teda zhrnul ešte raz pre tých, ktorí tvrdili, že aj tak nakupujeme všetko čínske,“ uzatvára Martin Bulák, „áno, je rozdiel, či si kúpite hračku pre dospelých made in china alebo si stiahnete appku made in china. Aj keď ani pri tom prvom by som si nebol úplne istý.“

Veľa aplikácií je nebezpečných, no niektoré ešte viac

Bezpečnostný problém TEMU SHEIN Alibaba.com Amazon TikTok eBay Lokálna kompilácia s “package compile” vykonaná pomocou getRuntime.exec() Áno Nie Nie Nie Nie Nie Žiadosť o informáciu, či aplikácia beží s právami root (“superuser”) Áno Áno Áno Áno Nie Nie Požiadavka na zoznam procesov pomocou “getRunningAppProcesses()” Áno Áno Áno Áno Áno Nie Žiadosť o systémové logy z “/system/bin/logcat” Áno Áno Nie Áno Nie Nie Prístup k statusu debuggeru pomocou “Debug.isDebuggerConnected()” Áno Áno Nie Áno Nie Nie Čítanie a zápis systémových súborov v “sys/devices/” Áno Áno Áno Áno Nie Nie Prístup k externému úložisku pomocou “ExternalStorage” Áno Áno Áno Áno Áno Áno Vytváranie snímok obrazovky (“getRootView()”, “peekDecorView()” v “getWindow()”) Áno Áno Áno Áno Áno Áno Žiadosť o MAC adresu Áno Áno Áno Áno Áno Áno Vkladanie MAC adresy do JSON na odoslanie informácie na server Áno Nie Áno Áno Nie Áno Zakódovanie kódu s väčšinou JAVA kódu: nepomenované súbory, priečinky, funkcie Áno Áno Áno Áno Áno Áno android.permission.CAMERA Áno Nie Áno Áno Áno Áno android.permission.WRITE_EXTERNAL_STORAGE Áno Áno Áno Áno Áno Áno android.permission.RECORD_AUDIO Áno Nie Áno Áno Áno Nie android.permission.INSTALL_PACKAGES Áno Nie Áno Áno Nie Nie android.permission.INTERNET Áno Áno Áno Áno Áno Áno android.permission.WAKE_LOCK Áno Áno Áno Áno Áno Áno Vkladanie informácií o polohe do JSON na odoslanie informácie na server Áno Áno Áno Nie Áno Nie

zdroj: grizzlyreports.com