中国の拼多多(Pinduoduo)が運営するショッピングアプリTemuはスパイウェア( ̄▽ ̄;)

スポンサーリンク
Temu 社会問題

中国の拼多多(Pinduoduo)が運営するショッピングアプリTemuはスパイウェア( ̄▽ ̄;)

日本でも急速に普及している。最初にTemuに登録するだけで多くの商品の中から1品タダでもらえるシステムを売り物にしている。

以前も少しご紹介しましたが、中国の拼多多(Pinduoduo)が運営するショッピングアプリTemuが最近日本でも広がり始め話題ですが、このアプリは巧妙に隠されたスパイウェアであり、米国の国益に対して安全保障上の脅威を齎していると報告されています。

こちらの方はTemuアプリを使用した後、カードを不正利用されたと仰っていますが、その理由として考えられるのはTemuアプリがユーザーのスマホ内の個人情報を自由に吸い出せる可能性が高い事です。

GoogleはTemuを運営する会社Pinduoduoの中国版アプリ「Pinduoduo」をアプリストアから停止しましたが、残念な事にアプリTemuはまだ停止していません。 Pinduoduoが停止されても、TEMUアプリに引き継がれ、Temuのシステムは以前に停止されたPinduoduoのアプリと共有されていると報告されています。
grizzlyreports.com/we-believe-pdd

以下Temuアプリの危険性
・Pinduoduo の中国国内での成功に乗って、親会社Pinduoduoは昨年、オンライン ショッピング プラットフォームであるTemuを米国で立ち上げました。それが今、日本に入ってきています。

・TEMUアプリ・ソフトウェアは、最も攻撃的な形態のマルウェア/スパイウェアの特徴をすべて備えています。
・Temuアプリには、ユーザーに気付かれずに大規模にデータ抽出を行える機能が隠されており、Temuはユーザーのモバイルデバイス上のほぼすべてのデータに完全にアクセスできる可能性があります。(クレジットカードのパスワードなども含む)

・大量データ流出の危険性を助長しているのは、TEMUアプリの急速な普及率。TEMUは中国では提供されていません。 ・TEMUアプリの開発チームには、Google Playストアから停止処分を受けたPinduoduoアプリを開発した100人のエンジニアが含まれている様です。

・TEMUは既に西側諸国の顧客から盗んだデータを違法に販売している疑惑があります。 ・TEMUは、注文1件あたり30ドルの損失を出していると推定されています。

🇨🇳アプリTemuの危険性

以前も少しご紹介しましたが、中国の拼多多(Pinduoduo)が運営するショッピングアプリTemuが最近日本でも広がり始め話題ですが、このアプリは巧妙に隠されたスパイウェアであり、米国の国益に対して安全保障上の脅威を齎していると報告されています。

こちらの方はTemuアプリを使用した後、カードを不正利用されたと仰っていますが、その理由として考えられるのはTemuアプリがユーザーのスマホ内の個人情報を自由に吸い出せる可能性が高い事です。

GoogleはTemuを運営する会社Pinduoduoの中国版アプリ「Pinduoduo」をアプリストアから停止しましたが、残念な事にアプリTemuはまだ停止していません。

Pinduoduoが停止されても、TEMUアプリに引き継がれ、Temuのシステムは以前に停止されたPinduoduoのアプリと共有されていると報告されています。
https://grizzlyreports.com/we-believe-pdd-is-a-dying-fraudulent-company-and-its-shopping-app-temu-is-cleverly-hidden-spyware-that-poses-an-urgent-security-threat-to-u-s-national-interests/

以下Temuアプリの危険性🔻

・Pinduoduo の中国国内での成功に乗って、親会社Pinduoduoは昨年、オンライン ショッピング プラットフォームであるTemuを米国で立ち上げました。それが今、日本に入ってきています。

・TEMUアプリ・ソフトウェアは、最も攻撃的な形態のマルウェア/スパイウェアの特徴をすべて備えています。

・Temuアプリには、ユーザーに気付かれずに大規模にデータ抽出を行える機能が隠されており、Temuはユーザーのモバイルデバイス上のほぼすべてのデータに完全にアクセスできる可能性があります。(クレジットカードのパスワードなども含む)

・大量データ流出の危険性を助長しているのは、TEMUアプリの急速な普及率。TEMUは中国では提供されていません。

・TEMUアプリの開発チームには、Google Playストアから停止処分を受けたPinduoduoアプリを開発した100人のエンジニアが含まれている様です。

・TEMUは既に西側諸国の顧客から盗んだデータを違法に販売している疑惑があります。

・TEMUは、注文1件あたり30ドルの損失を出していると推定されています。

 

・その広告費と配送費(中国から1-2週間、他国への迅速配送)は天文学的数値なので、このビジネスがどうやって利益を上げられるのか不思議でなりません。
https://wired.com/story/temu-is-losing-millions-of-dollars-to-send-you-cheap-socks/

・Temuは明らかにTikTokよりも危険です。アプリは Google及びApple アプリ ストアから削除する必要があります。
・中国の複数のデータソースとゴールドマンサックスは既に、Pinduoduoの1日平均ユーザー数が急速に減少し始めていると報告しています。これは、急速に悪化しているビジネスのように思え、日本等で販売する事で延命を図っているのか、潰れる前にクレジットカード情報などを盗んで逃げる気か?と

・複数の専門家によるTemuアプリ・ソフトウェアの分析により、Temuにユーザーのプライバシーを侵害する不適切で危険な18種類のソフトウェア機能が特定され、Temuはそれらすべてを使用していると報告されています。

Temuの不適切で危険な18種類のソフトウェア機能の詳細についてはこちらから🔻

 

重要な免責事項

本レポートおよび本レポートに含まれるすべての記述は Grizzly Research LLC の見解であり、事実の記述ではない。

報告書は一般に入手可能な情報、現地調査、グリズリー・リサーチ LLC のデューデリジェンスと分析プロセスによる推論と推察に基づいている。

当社の意見は誠実に行われたものであり、当社が分析した企業の経営陣が行った表明に対する理解を含め、収集・分析した公開事実と証拠に基づいており、そのすべてを当社の調査報告書に記載し、当社の意見を裏付けています。ただし、これらはあくまでも当社の意見であり、確信にすぎません。

私たちは、公開情報に基づく調査・分析を、そのようなことに関心があれば誰にでもできる以上の方法で実施しました。本レポートで引用した、あるいは本レポートを執筆するために当社が依拠した証拠に ついては、一般に公開されている。

Grizzly Research LLC は、そのような情報の正確性、適時性、完全性、またはその使用から得られる結果について、明示的か黙示的かを問わず、いかなる表明も行わない。

私たちは私たちの意見を述べる権利があり、そのような意見を公共の場で述べる権利があります。当社は、当社が調査する公開企業に関する当社の意見およびその基礎となる事実を公表することが公共の利益に適うものであり、その公表は、当社が調査する公開企業の真の価値および株価について、一般投資家と市場が共通の関心でつながっているという事実により正当化されると考えています。すべての意見表明は予告なしに変更される可能性があり、Grizzly Research LLC は本レポートまたは本レポートに含まれる情報を更新または補足する義務を負うものではない。

本レポートの受領者はプロの投資家であり、本レポートを信頼するか否かについては各自で判断するものとします。利用者は、本ウェブサイト上の情報、分析、意見を批判的に評価するのに十分な投資知識を有していることを表明するものとします。

利用者はさらに、本利用規約に拘束されることに同意しない限り、本サイト上のレポートおよびその他の資料の内容を他者に伝達しないことに同意するものとします。利用者が本ウェブサイトにアクセスし、本ウェブサイト上のレポートまたはその他の資料の内容をダウンロードし、または利用者自身のために受領する場合、利用者は本利用規約に同意し、これに拘束されるものとします。利用者が他人の代理人として本ウェブサイトにアクセスし、本ウェブサイト上のレポートまたはその他の資料の内容をダウンロードまたは受領する場合、利用者は本人を本利用規約に拘束されるものとします。

GRIZZLY RESEARCH LLC の本レポート発行日現在、GRIZZLY RESEARCH LLC の特定の関係者(以下に定義)(そのメンバー、パートナー、関連会社、従業員、および/またはコンサルタントとともに、あるいはそれらを通じて)、顧客、投資家、および/またはその顧客および投資家は、対象発行体の証券(およびこれらの証券に関連するオプション、スワップ、その他のデリバティブ)のショートポジションを保有しており、したがって対象発行体の証券価格が下落した場合、大きな利益を実現することになります。GRIZZLY RESEARCH LLC および GRIZZLY RESEARCH LLC の関連者は、対象発行体に関する初回報告後、無期限で対象発行体の証券の取引を継続する可能性があり、そのようなポジションは、GRIZZLY RESEARCH LLC のリサーチで述べた当初のポジションおよび見解にかかわらず、今後いつでもロング、ショート、または中立となる可能性がある。GRIZZLY RESEARCH LLC の 1 名以上の関係者は、GRIZZLY RESEARCH LLC の独自のデューデリジェンスに基づき、GRIZZLY RESEARCH LLC が本レポートに掲載した公開情報を GRIZZLY RESEARCH LLC に提供した。本レポートに含まれる証券に関して投資判断を下す前に、各自で調査およびデューディリジェンスを行うべきである。本レポートに記載された意見は投資助言ではなく、投資助言またはいかなる種類の推奨とも解釈されるべきではありません。本レポートの発行後、当社は本レポートの対象有価証券の取引を継続する可能性があり、また、当初の見解にかかわらず、今後いつでもロング、ショート、または中立の立場をとる可能性があります。

本レポートに含まれるすべての情報は、当社の可能な限りにおいて、正確かつ信頼できるものであり、当社が正確かつ信頼できると判断した公的情報源から入手したものであり、本レポートの対象銘柄のインサイダーや関係者ではなく、また発行会社に対して信認義務や守秘義務を負う可能性のある者でもない。調査対象会社、調査対象会社のインサイダー、代理人、法定代理人、および本書に記載されているその他の事業体は、本書に記載されている事項に関連する可能性のある重要な非公開情報を保有している可能性があることにご留意ください。本書に記載されたいかなる個人または企業も、本書の発行前に当社の報告書を確認したと推定しないでください。




本レポートは、いかなる有価証券の売買を勧誘するものではなく、また、かかる勧誘が当該法域の証券法上違法となる法域において、いかなる有価証券の売買を勧誘するものでもありません。


本レポートをダウンロードし開封することにより、利用者は故意かつ単独で以下の事項に同意するものとする: (ii) Grizzly Research LLCがデラウェア州の有限責任会社であることを踏まえ、[ニューヨーク州]内の上級裁判所の対人管轄権および専属管轄権に服し、他の管轄権または適用法に対する権利を放棄すること; (iii)いかなる法令または法律にかかわらず、本ウェブサイトまたは本ウェブサイトの資料の使用に起因または関連する請求または訴因は、そのような請求または訴因が発生してから1年以内に提出されなければならず、そうでなければ永久に禁止されること。Grizzly Research LLCが本免責事項の権利または規定を行使または実施しなかったとしても、この権利または規定を放棄したことにはなりません。本免責事項のいずれかの条項が管轄裁判所によって無効であると判断された場合であっても、当事者は、裁判所が当該条項において拒否された当事者の意図を有効にするよう努めるべきであり、本免責事項の他の条項が完全に有効であると裁定することに同意するものとします。


本免責事項のその他の規定、特に準拠法および管轄権に関する規定は、引き続き完全に効力を有するものとします。あなたは、本ウェブサイト上の情報が著作権で保護されていることに同意し、従って、この情報(ダウンロードされた_le、コピー/画像/複製物、またはこれらの_lesへのリンクのいずれであっても)を、以下のリンクを提供する以外のいかなる方法でも配布しないことに同意するものとします:http://GRIZZLYREPORTS.COM 。Grizzly Research LLCが公表した研究を、当該リンクからのダウンロード以外の方法で入手した場合、当該リンクにアクセスし、Grizzly Research LLCが指定するウェブサイトの利用規約に同意しない限り、当該研究を読むことはできません。


「Grizzly Research LLC関連者」とは、以下のように定義される:  Grizzly Research LLCとその関連会社および関係者(社長、役員、取締役、従業員、メンバー、顧客、投資家、コンサルタント、代理人を含むがこれらに限定されない)。

 

PDDは瀕死の詐欺会社であり、そのショッピングアプリ「TEMU」は巧妙に隠されたスパイウェアであり、米国の国益に対する緊急のセキュリティ脅威であると考える
グリズリー・リサーチ 2023年9月6日

 

TEMUアプリ・ソフトウェアは、最も攻撃的な形態のマルウェア/スパイウェアの特徴をすべて備えています。
        このアプリには、ユーザーが知らないうちに広範なデータ流出を可能にする機能が隠されており、悪質業者は顧客のモバイルデバイス上のほぼすべてのデータに完全にアクセスできるようになる可能性があります。
        このソフトウェアの悪意と侵入性を意図的に隠すために、多大な努力が払われたことは明らかです。
        私たちは、TEMUアプリのコードを逆コンパイルし、分析するために、多くの独立したデータセキュリティの専門家を雇い、私たち自身のスタッフの専門家やパブリックドメインで独自に執筆しているアナリストと統合しました。
        大量データ流出の危険性を助長しているのは、TEMUアプリの急速な普及率である。過去9ヶ月間でアプリのダウンロード数は1億を超え、そのすべてが米国とヨーロッパでのものである。TEMUは中国では提供されていない。
        TEMUアプリの開発チームには、Google Playストアから停止処分を受けたPinduoduoアプリを開発した100人のエンジニアが含まれている。(リンク)
        Pinduoduoアプリは “悪い部分 “を削除することで復活したが、その一部はTEMUアプリのコンポーネントと同じように利用されており、悪意があることを強く示している。
    私たちは、TEMUがすでに、あるいはそのつもりで、欧米諸国の顧客から盗んだデータを違法に販売し、失敗する運命にあるビジネスモデルを維持しようとしていることを強く疑っている。
        中国の格安ショッピングアプリは、ビジネスモデルが単に持続的に利益を生むものではないことを以前に証明している。Wish.comは顕著なケーススタディであり、Sheinは積極的な現在の競合である。TikTokはこの分野への参入を発表した。
        TEMUは、注文1件あたり30ドルの損失を出していると推定されている(リンク)。その広告費と配送費(中国から1-2週間、米国への迅速配送)は天文学的だ。このビジネスがどうやって利益を上げられるのか、不思議でならない。
        TEMUはこの業界では悪名高い悪徳業者だ。横行するユーザー操作、サインアップを促すためのチェーンレターのようなアフィニティ詐欺、そして全体的に、アプリをインストールするために多数の人々を操作するための最も攻撃的で疑わしい手法が見られる。
    米国議会の委員会はすでにHR1153を起草しており、TEMUのビジネスモデルに深刻な打撃を与えるか、米国大統領に米国からの出入国を禁止する権限を与えるだろう。
        TEMUがユーザーの個人情報を無断で中国に流出させたとして、米国がTEMUを罰することを認める。
        スラムは、送料、税関検査、関税を免除し、TEMUが米国の消費者にアクセスできるようにする抜け穴を塞いだ。米国企業は中国の消費者市場に対して対称的な権利を享受していない。
        TEMUはTikTokよりも明らかに危険だ。このアプリはグーグルとアップルのアプリストアから削除されるべきである。
    PDDの財務は信頼できないことで有名だ。
        普段は好意的なセルサイドのアナリストでさえ、PDDの会計は「ブラックボックス」のようなもので、情報開示がますます不透明になっていると指摘している。
        時価総額約1,350億ドルの企業であるにもかかわらず、PDDには2018年以来CFOがいない。主要な財務ポジションは回転ドアだ。説明責任はないようだ。
        Ernst&Young Hua Ming LLPの現地監査パートナーは信頼に値しないと我々は判断しており、過去に株式が無価値に近いことが証明された数多くの中国企業を監査してきた。
        当社の分析によると、PDDは中国での自らの声明によると、米国の投資家に対して従業員数を過少に報告している可能性がある。従業員数の過少計上は、報告された財務における収益性を過大評価することになる。
        PDDは大規模な不正注文スキャンダルに巻き込まれたと報じられており、70億人民元の違法賭博トラフィックがPDDのプラットフォームを経由してロンダリングされたという疑惑もある。
    重要な営業指標によると、PDDの中国事業は急速に衰退しており、アリババやJDといった競合他社との激しい争いに敗れている。
        アリババの中国における規制問題は2023年7月に解決されたようだ。規制当局の介入がなければ、アリババはPDDから相当なシェアを奪うと見られる。
        同時に、JDはPDDから市場シェアを奪取する努力を強めており、非常に有望な結果が得られる最初の兆候が見られる。
        中国の複数のデータソースとゴールドマン・サックスは、PDDの1日平均ユーザー数(DAU)が急速に減少し始めていることをすでに報告している。月のDAUの前年比減少率は20%を超えている。これは、急速に悪化しているビジネスのように思える。
    PDDは、株主よりもむしろインサイダーの利益のために運営されているビジネスだ。
        PDDホールディングスは、同社が使用する決済プラットフォームを構築した。しかし、経営陣は決済事業全体を自分たちのために切り分けている(AliPayのプレイブック)。我々は、経営陣が事業の最も魅力的な部分を自分たちのために私的に保持していると考えている

        大量の株式が所在不明。数十億ドル相当の株式が「行方不明」になったと報じられている。一部は慈善団体に、一部はベンチャーキャピタル投資家に流れたとされている。私たちは、この透明性の欠如をもうひとつの赤信号と見ている。


Part 1: TEMUは広く流通している最も危険なアプリであると考える


TEMUアプリに見られる危険性の高いスパイウェア/マルウェアの特徴


複数の専門家によるPDDのアプリ・ソフトウェアの分析は、赤旗の懸念の兆候をすべて示している。外部のデバイス・データへの呼び出しや、ユーザーのプライバシーを侵害する機能は、どの有名な消費者向けショッピング・アプリよりもはるかに攻撃的です。


私たちの専門家は、この種のソフトウェアには全く不適切で危険なソフトウェア機能を特定しました。TEMUはそれらすべてを使用している。

 

TEMUに現れるセキュリティ問題と競合アプリの比較。*
注:TEMUは18の脅威すべてを赤で表示し、TikTok(10は緑)とSHEIN(9は緑)は最も危険性が低い。TEMUのみが赤のフラグを立てている問題(1、4、10、15行目)は、最も危険であり、実際のスパイウェアになる可能性が最も高いものです。
これらの問題は、コードの専有部分、不明瞭な部分、めったに使用されないコード・ライブラリ、ニッチ企業による貧弱なプログラムの部分で発生します。
* この分析は、2023年8月30日現在、1.99までのTEMUのいくつかのバージョンで実行されました。

android.permissionエントリは、デコンパイルされたソースコードの専有部分で参照されていることがわかります。”めったに使用されない “ライブラリとは、このステートメントで言及されている信頼できる大手の技術企業から直接提供されていないものです。大手技術企業が作成したライブラリのみを使用するのが一般的です。

最も侵襲的な機能の非常に選択的な有効化、または中国のサーバーからオンデマンドでそれらを呼び出すTEMUの能力、あるいはアップデートやダイナミック(ランタイム)コンパイルにさらに侵襲的な動作をサイドロードすることは、すべてインストールされたTEMUアプリのリスクプロファイルに迫っている。

 

消費者プライバシー侵害の文化と米国議会が衝突

流出したデータの行き着く先は?中国はある法律を制定した:

「国家は、国家情報活動を支援、協力、協力する個人と組織を保護しなければならない。

中国企業は、そのデータベース全体が中国政府機関によってアクセス可能でなければ営業できない。( リンク ) 特に、中国軍は10年以上にわたって、中国を拠点とした対米ハッキングと密接に結びついている ( リンク )

米中間の貿易、防衛、テクノロジーの緊張が迫っている今、中国国家が、10フィート以内のユーザーの位置情報、さらに「利害関係者」の高度な個人情報を流出させる企業の能力に関心を持つことは、十分に予想できる: 米国政府職員、米軍メンバー、警察官、警備員、大学研究員、中国人駐在員、さらに欧米諸国でTEMUの顧客である家族を持つ可能性のある抑圧された少数民族のメンバーなどである。もちろん、中国の国家安全保障機構は、彼らと通信する米国民との間のテキストメッセージに関心を持っている。購入パターンを地理的位置や個人データと組み合わせることで、私たちの誰かに関する実用的なインテリジェンスが明らかになるかもしれない。外国が私たちのスマートフォンのデータをAIエンジンに通すことで、私たちの政治的傾向が評価され、操作される可能性を考えると、リスクは目に見えるだけでなく、拡大する。

私たちは、多くの米国議員がすでにこのようなリスクは許容できないほど高いと考えており、米国企業が中国でこのような事業を行うための公平な互恵的機会はないと考えていると考えている。(これはリベラル対保守という対立軸の問題ではない。両陣営の議員が今まさにこの問題に取り組んでいるのだ)。

議会はすでに関与している。彼らは、TikTokが我々が直面している最悪の脅威ではないことを理解する必要があるだけだ: TEMUがそうなのだ!

HR1153はすでに議会に提出されているが、ほとんどの人はTikTokを禁止するためのものだと思っている!読んでみてください!

HR1153にはこうある: 財務省は、中国の影響下にある外国人に対し、米国の管轄下にある機微な個人情報を故意に提供する、または提供する可能性のある人物との取引を禁止する指令書を発行することができる。

法案はまた、接続されたソフトウェア・アプリケーションに関連する特定の取引に対する制裁を新設する。例えば、大統領は、中国の管轄下にあり、中国の軍事、諜報、検閲、監視、サイバー、情報キャンペーンを容易にしたり、それに貢献するために使用されている、またはその可能性があると合理的に考えられる接続ソフトウェア・アプリケーションを、故意に操作、指示、または取引する外国人に対して制裁を課さなければならない。

セキュリティの専門家や政治家の間では、中国企業によって取得されたユーザーデータはすべて、中国のセキュリティ・サービスがアクセス可能なデータベースに蓄積されると広く考えられている。しかし、TikTokが行っているかもしれないことよりも、TEMUのアプリの方がはるかに危険である理由をお見せしよう。

マルウェアの遺産 TEMUのアプリは悪質なスパイウェアであり、そのコードベースは以前停止されたPinduoduoのアプリと共有されている。

Pinduoduoの最近停止された(そしてその後復活した)主力アプリの要素が、PDDのTEMUアプリに含まれていることを示す強力な証拠がある。

Pinduoduoのマルウェアは、縁の下の力持ちでも状況証拠でもなかった。PDDは100人のプログラマーからなるチームを募集・雇用し、AndroidのOEMカスタマイズ(主流ブランドの低価格スマートフォンにインストールされている)を見つけて悪用することで、メインのAndroidコードベースよりも監査頻度の低い脆弱性を悪用することを意図していた(このような脆弱性は50以上狙われていたと推定される)。CNNが報じたように(リンク)、PDDの戦略のひとつは、開発中の検知を逃れるために、北京や上海を避け、中国の小さな町やその他の田舎、発展していない地域のみでこのソフトウェアを実行することだった。

「私たちは、このようなアプリが特権をエスカレートさせて、本来アクセスできないはずのものにアクセスしようとするのを見たことがありません。これはかなり珍しいことで、Pinduoduoにとってはかなり不利です。

– サイバーセキュリティの専門家、Mikko Hypp_1F43nen氏。

「こんなことは初めてです。超展開です」。

-セルゲイ・トーシン、アンドロイドのセキュリティ専門家、Oversecuredの創設者

2023年3月21日、グーグルは、PDDのPinduoduoアプリのGoogle Playストア版を、セキュリティ上の懸念から一時停止すると発表した。(マルウェアはApp Storeでもよく見られるが、”サイドロード “されたアプリをインストールすることは、常により危険な行為である)。



GoogleのPlayストアがPinduoduoを一時停止した後、親会社のPDDはPinduoduoのアップデートを大々的に発表し、マルウェアを削除したと称した(この突然の変更に関する技術的な議論と、そこからわかったことは以下を参照)。Pinduoduoはマルウェアに関与したチームを解散させ、「解雇」した。しかしそれは見せかけのものだった。もちろん、彼らはすぐにPDDの別会社TEMUに雇われ、”再配置 “された。(同じリンク、上記リンクと同じCNNの記事)


アプリ・ソフトウェアの分析と専門家の引用


マルウェア/スパイウェアを探す他の調査と同様に、我々の分析は、アプリストアのポリシーに違反し、ユーザーのプライバシーを侵害する不適切なユーザー情報を流出させる力を持つコードを実行するコンポーネントとなる、攻撃的で潜在的に侵襲的なシステムコールの検索から始まります。特に、アナリストや自動セキュリティスキャンから悪意のあるアクションを隠したり、難読化したりすることを意図したソフトウェアの実行に注意が向けられます。


マルウェア/スパイウェアの作成と検出は、ソフトウェア・エンジニアによるいたちごっこであるため、このセクションは技術的なものです。


以下は、TEMUのアプリで見つかったセキュリティ上の問題の一部である:


1) runtime.exec()を使った動的コンパイル。ソースコードの暗号化された名前の関数が、runtime.exec()を使って「パッケージ・コンパイル」を呼び出している。コンパイルとは、人間が読めるコードからコンピュータの実行可能ファイルを作成するプロセスである。コンパイルとは、人間が読めるコードからコンピュータの実行可能ファイルを作成するプロセスのことです。この機能によって作成された実行可能ファイルは、アプリのインストール前やインストール中、あるいは入念な侵入テストを行っても、セキュリティスキャンからは見えません。したがって、TEMUのアプリは、悪用可能な手法を無制限に使用できるオープンドアが組み込まれているにもかかわらず、GoogleのPlayストアに承認されるためのすべてのテストに合格することができた。ローカル・コンパイルは、TEMUのサーバーからの情報を使って動的に作成された可能性のある、デバイス上の他のデータを利用することさえ可能にしている。


「最悪だ。パッケージをローカルでコンパイルしているのであれば、文字通り、いつでも何でもできてしまうからだ。システムが本当にダイナミックなので、分析ができないということだ。


この機能だけでも、マルウェアの具体的なリスクのほとんどに立ちはだかる「ワイルドカード」だ。マスターキーを手にしているときに、誰が一番多くの鍵を持っているのかを議論するようなものだ。別の言い方をすれば、この1つのバックドアが隠されているために発見されないまま、残りのすべての不愉快なコードが削除された場合、このアプリは、外国のサーバーによって制御され、ほぼすべての可能な方法で、アプリの将来のすべての開発、規制、および他のすべての可能な影響に反応するように動作を変更することによって、同様に悪質なものになる可能性があります。例えば、TEMUは暗号化されたソースコードを送信し、不審なデータであるかのように見せかけ、クライアントの携帯電話で実行ファイルにコンパイルすることができます。


自動生成されたテキスト説明のコンピュータ・スクリーンショット

 

上記の「セキュリティの問題」の表1行目に該当するTEMUアプリのコード、
runtime.exec()を用いた動的コンパイルの実行。

2) Android、Google、Facebook、PayPal、Klarnaによって広く使用され、安全な標準ライブラリに存在しないandroid.permissionエントリが、逆コンパイルされたソースコードの専有部分で参照されている。特定のシナリオでこれらのパーミッションを使用するオプションがない場合、なぜプロプライエタリなソースコードはこれらのパーミッションを参照するのだろうか?最も重要なことは、TEMUのソースコードにあるこれらのパーミッションの多くが、アプリの標準化された概要ソースであるAndroid Manifestファイルに記載されていないことだ。パーミッションを精査するために、Androidマニフェストファイルはパーミッションをチェックする最初のソースです。Androidマニフェストには、CAMERA、RECORD_AUDIO、WRITE_EXTERNAL_STORAGE、INSTALL_PACKAGES、ACCESS_FINE_LOCATIONのパーミッション要求が記載されていません。これらのパーミッションが、スパイの可能性に関して最も侵入的なものであることは偶然ではない。比較のために、コホートの表に記載されている他のすべてのアプリは、Androidマニフェストでこれらのパーミッションをすべて列挙している。唯一の例外はTikTokのACCESS_FINE_LOCATIONです。

3) TEMUはファイルに関連する情報を照会し、自身のファイルだけでなく、”EXTERNAL_STORAGE”、スーパーユーザー権限、ログファイルを参照することで、ユーザーのデバイス上のすべてのファイルに関する情報を求めています。言い換えれば、特定のAndroidのバージョンに応じて、アプリは、チャットログ、画像、他のアプリ上のユーザーコンテンツなど、すべてのユーザーとシステムデータを読み取り、処理し、変更するために使用することができます。

3a) このアプリには、API「us.temu.com」に接続されたコマンドサーバーに基づくファイルアップロード機能がある。つまり、ユーザーがTEMUアプリにファイル保存の許可を与えると、たとえ無意識であっても、TEMUはユーザーのデバイスからあらゆるファイルをリモートで収集し、自社のサーバーに送信することができる。他のプライバシー侵害パーミッションも同様です。

注意:すべてのユーザーではないにせよ、多くのユーザーは、アプリのインストールダイアログボックスに直面すると、その結果を理解していないため、疲労し、焦ってしまいます。TEMUは、Amazon、Ebay、その他多くのアプリを含む他の主要なショッピングアプリと同様に、インストール中や操作中に、ユーザーのファイルシステムや地理的な場所にアクセスすることがあります。プログラミング・チームとメイン・サーバーが中国にあるアプリにこれらの許可を与えることを拒否できるほど自覚的なユーザーは、全体の10%にも満たないだろう。

しかし、ほとんどのユーザーにとって、それは単なるチェックボックスであり、一度実行されると忘れ去られてしまう。長期休暇に出かけるのに、家の金庫の鍵を開けっ放しにしておくようなものだ。これについては後で詳しく説明する。

3b) 大きな結果を伴うパーミッションの要求を滑り込ませる。これがどのように機能するか説明しよう。TEMUアプリは、インストール当初は積極的に多くのパーミッションを要求することはない。しかし、例えば、あなたが写真を投稿し、TEMUが出品されている似たようなアイテムを検索できることを知ったら、その魅力的な機能を試したくなるかもしれない。

写真のようなアイテムを検索すると、TEMUは位置情報の許可を求める。

コメント

タイトルとURLをコピーしました