Çinin məşhur “Pinduoduo” tətbiqində istifadəçilərin şəxsi məlumatlarını mənimsəmək və onların digər tətbiqlərdəki fəaliyyətlərini izləmək üçün zərərli proqramın olduğu aşkarlanıb. Bu kiberhücumlar ABŞ və Avropadan olan ekspertlər tərəfindən sübut edilib və tətbiq “Google Play Store”dan çıxarılıb.

Bu, Çinin ən populyar alış-veriş tətbiqlərindən biridir və hər ay 750 milyondan çox istifadəçiyə geyim, ərzaq və demək olar ki, hər şeyi satır.

Lakin kibertəhlükəsizlik tədqiqatçılarına görə, bu tətbiq istifadəçilərin telefon təhlükəsizliyini aşaraq digər tətbiqlərdəki fəaliyyətləri izləyə, bildirişləri yoxlaya, şəxsi mesajları oxuya və ayarları dəyişə bilər.

Tətbiq quraşdırıldıqdan sonra isə onu silmək çətindir.

Bir çox tətbiq bəzən açıq razılıq olmadan geniş istifadəçi məlumatları toplasa da, ekspertlər bildirirlər ki, e-ticarət nəhəngi “Pinduoduo” məlumat məxfiliyi və təhlükəsizliyi pozuntularını yeni səviyyəyə qaldırıb.

“CNN” Asiyadan, Avropadan və ABŞ-dən altı kibertəhlükəsizlik komandası, eləcə də bir neçə keçmiş və hazırkı “Pinduoduo” əməkdaşı ilə birgə geniş araşdırma aparıb.

Bir neçə ekspert “Pinduoduo” tətbiqində “Android” əməliyyat sistemlərindəki zəifliklərdən istifadə edən zərərli proqram aşkarlayıb. Şirkət daxilindəki mənbələr bu üsullardan satışları artırmaq məqsədilə istifadəçiləri və rəqibləri izləmək üçün istifadə edildiyini bildiriblər.

“Biz əvvəllər belə geniş istifadə olunan əsas tətbiqin imkanlarını artıraraq daxil olmamalı olduğu sahələrə girməyə çalışdığını görməmişik”, — deyə Finlandiyanın kibertəhlükəsizlik şirkəti “WithSecure”un baş tədqiqatçısı Mikko Hüppönen (Mikko Hyppönen) bildirib.

“Bu, çox qeyri-adi haldır və “Pinduoduo” üçün olduqca mənfi göstəricidir”.

Zərərli proqram — “malware” — məlumat oğurlamaq və ya kompüter sistemlərinə və mobil cihazlara müdaxilə etmək üçün hazırlanmış hər hansı proqram təminatını ifadə edir.

“Pinduoduo” tətbiqində mürəkkəb zərərli proqramın mövcudluğu “TikTok” kimi Çində hazırlanmış tətbiqlərlə bağlı məlumat təhlükəsizliyi narahatlıqları fonunda ortaya çıxıb.

Bəzi amerikalı qanunvericilər məşhur qısa video tətbiqinə qarşı milli qadağa təklifləri irəli sürürlər. Tətbiqin baş direktoru Şou Çyu (Shou Chew) keçən həftə Konqresdə Çin hökuməti ilə əlaqələri barədə beş saatlıq dindirilib.

Bu açıqlamalar həmçinin “Pinduoduo”nun beynəlxalq qardaş tətbiqi “Temu”ya da diqqəti artıracaq. O, ABŞ yükləmə cədvəllərində birinci sıradadır və Qərb bazarlarında sürətlə genişlənir. Hər iki tətbiq Çində köklü, “Nasdaq”da siyahıya alınan çoxmillətli “PDD” şirkətinə aiddir.

“Temu” hələ ittiham olunmasa da, “Pinduoduo”nun iddia edilən fəaliyyəti onun qlobal genişlənməsinə kölgə sala bilər.

“Pinduoduo”nun Çinə məlumat verib-vermədiyi ilə bağlı heç bir sübut yoxdur. Lakin Pekin tabeçiliyində olan şirkətlər üzərində geniş təsir imkanlarına malik olduğundan ABŞ qanunvericiləri narahatdırlar ki, Çində fəaliyyət göstərən hər hansı şirkət təhlükəsizlik məqsədli işlərdə məcburi əməkdaşlığa cəlb oluna bilər.

Bu tapıntılar “Google”un mart ayında “Pinduoduo”nu “Play Store”dan dayandırmasından sonra ortaya çıxıb. Həmin vaxt tətbiqin “off-Play” versiyalarında zərərli proqram aşkarlanmışdı.

Daha sonra “Bloomberg”in hesabatında Rusiya kibertəhlükəsizlik şirkətinin də tətbiqdə potensial zərərli proqram aşkarladığı bildirilib. “Pinduoduo” əvvəllər “Pinduoduo” tətbiqinin zərərli olması ilə bağlı şayiə və ittihamları rədd edib.

“CNN” “PDD” ilə dəfələrlə e-mail və telefon vasitəsilə əlaqə saxlayıb, lakin cavab ala bilməyib.

Uğur yolunda yüksəliş

“Pinduoduo” Çinin onlayn əhalisinin dörddə üçünü əhatə edən istifadəçi bazasına sahibdir və bazar dəyəri “eBay”dən üç dəfə çoxdur. Amma əvvəlcə onlayn alış-veriş nəhəngi deyildi.

2015-ci ildə Şanxayda keçmiş “Google” əməkdaşı Kolin Huanq (Colin Huang) tərəfindən qurulan startap uzun müddət e-ticarətdə “Alibaba” və “JD.com” kimi güclü rəqiblərin hakim olduğu bazarda öz yerini qorumağa çalışırdı.

Digər tətbiqlərdən fərqli olaraq, əsasən dostlar və ailəvi qrup alış-verişlərinə böyük endirimlər təqdim etməklə və aşağı gəlirli kənd yerlərinə fokuslanmaqla uğur qazandı. “Pinduoduo” 2018-ci ilin sonuna qədər aylıq istifadəçi sayında üçrəqəmli artım qeydə aldı, 2018-ci ildə isə Nyu-York birjasında listinqə çıxdı. 2020-ci ilin ortalarına qədər aylıq istifadəçi artımı təxminən 50%-ə enmişdi və daha sonra azalmağa davam etmişdi. Bu barədə şirkətin maliyyə hesabatlarında qeyd olunub.

Şirkətin hazırkı əməkdaşının sözlərinə görə, 2020-ci ildə “Pinduoduo” “Android” telefonlarındakı zəiflikləri tapmaq və onlardan istifadə edən həllər hazırlamaq üçün təxminən 100 mühəndis və məhsul menecerindən ibarət komanda yaratdı və bunu gəlir mənbəyinə çevirdi.

Anonim qalmaq istəyən mənbənin sözlərinə görə, başlanğıcda şirkət yalnız kənd yerləri və kiçik şəhərlərdəki istifadəçiləri hədəfləyir, Pekin və Şanxay kimi böyük şəhərlərdəki istifadəçilərdən uzaq dururdu.

“Məqsəd aşkar olunma riskini azaltmaq idi”, — deyə mənbə bildirib.

İstifadəçi fəaliyyətləri barədə geniş məlumat toplayaraq şirkət onların vərdişləri, maraqları və seçimləri barədə tam portret yaratmışdı.

Bu, maşın öyrənməsi modelini təkmilləşdirməyə imkan verirdi ki, daha fərdiləşdirilmiş bildirişlər və reklamlar təklif edilsin, istifadəçilər tətbiqi açmağa və sifariş verməyə cəlb olunsun.

Mənbə əlavə edib ki, komanda mart ayının əvvəlində, fəaliyyəti ilə bağlı suallar ortaya çıxdıqdan sonra işini dayandırıb.

“PDD” “CNN”in komanda ilə bağlı təkrar rəy sorğularına cavab verməyib.

Ekspertlərin tapdıqları

Təl-Əvivdə yerləşən “Check Point Research”, Delaverdə qurulan tətbiq təhlükəsizliyi startapı “Oversecured” və Hüppönenin “WithSecure” şirkəti Çin tətbiq mağazalarında fevralın sonunda yayımlanan 6.49.0 versiyasını müstəqil şəkildə analiz edib.

“Google Play” Çində mövcud deyil və “Android” istifadəçiləri tətbiqlərini yerli mağazalardan yükləyirlər. Mart ayında “Google” “Pinduoduo”nu dayandırarkən tətbiqin “off-Play” versiyalarında zərərli proqram aşkarladığını bildirmişdi.

Tədqiqatçılar “imtiyaz artırımı” üçün yazılmış kod tapıblar. Bu, zəif əməliyyat sistemindən istifadə edərək daha yüksək səviyyəli məlumatlara icazəsiz giriş əldə etməyə yönəlmiş kiberhücum növüdür.

“Komandamız həmin kodu tərsinə mühəndislik üsulu ilə araşdırdı və təsdiqləyə bilərik ki, o, imtiyazları artırmağa, adi tətbiqlərin “Android” telefonlarında edə bilmədiyi şeylərə giriş əldə etməyə çalışır”, — deyə Hüppönen bildirib.

Tətbiq arxa planda işləməyə davam edə və silinməsinin qarşısını ala bilirdi ki, bu da aylıq aktiv istifadəçi sayını artırırdı. O, həmçinin rəqibləri izləmək və digər alış-veriş tətbiqlərindəki fəaliyyətləri təqib etməklə casusluq etmək imkanına malik idi.

“Check Point Research” tətbiqin yoxlamadan yayınma üsullarını da müəyyən edib.

Tədqiqatçıların sözlərinə görə, tətbiq zərərli proqramları tapmaq üçün nəzərdə tutulmuş mağaza yoxlama prosesindən keçmədən yeniləmələri yayımlamaq üçün xüsusi üsuldan istifadə edirdi.

Onlar bəzi əlavələrdə zərərli komponentləri “Google” kimi legitim fayl adları altında gizlətmək niyyətini də aşkar ediblər.

“Belə texnika zərərli kodu normal funksionallığa malik tətbiqlərə daxil edən zərərli proqram tərtibatçıları tərəfindən geniş istifadə olunur”, — deyə onlar əlavə ediblər.

“Android” hədəfə alınıb

Çində mobil istifadəçilərin təxminən dörddə üçü (düzəliş edildi) “Android” sistemindən istifadə edir. “Apple”ın “iPhone”unun bazar payı isə 25%-dir, — deyə “Wedbush Securities”dən Daniel Ayvs (Daniel Ives) qeyd edib.

“Oversecured”in təsisçisi Sergey Toşin (Sergey Toshin) deyib ki, “Pinduoduo”nun zərərli proqramı “Samsung”, “Huawei”, “Xiaomi” və “Oppo” kimi müxtəlif “Android” əməliyyat sistemlərini hədəfləyir.

“CNN” həmin şirkətlərlə münasibət öyrənmək üçün əlaqə saxlayıb.

Toşin “Pinduoduo”nu əsas tətbiqlər arasında “ən təhlükəli zərərli proqramlardan biri” kimi təsvir edib.

“Mən əvvəllər buna bənzərini görməmişəm. Bu, inanılmaz dərəcədə genişdir”, — deyib.

Dünyada telefon istehsalçılarının çoxu əsas “Android” proqramını — “Android Open Source Project”i (AOSP) fərdiləşdirərək öz cihazlarına xüsusi funksiyalar və tətbiqlər əlavə edir.

Toşin müəyyən edib ki, “Pinduoduo” təxminən 50 “Android” sistem zəifliyindən istifadə edib. İstismarların əksəriyyəti OEM — orijinal avadanlıq istehsalçısı — koduna uyğunlaşdırılmışdı. Bu kod AOSP ilə müqayisədə daha az yoxlanıldığı üçün zəifliklərə daha meyilli olur.

“Pinduoduo” həmçinin bir neçə AOSP zəifliyindən istifadə edib. Onların arasında Toşinin 2022-ci ilin fevralında “Google”a bildirdiyi səhv də var idi. “Google” bu problemi 2023-cü ilin martında aradan qaldırıb.

Toşinə görə, “Pinduoduo” istifadəçilərin icazəsi olmadan onların yerini, əlaqələrini, təqvimlərini, bildirişlərini və fotoalbomlarını izləyə bilirdi. Bundan əlavə, sistem parametrlərini dəyişdirmək, sosial şəbəkə hesablarına və mesajlara daxil olmaq mümkün idi.

Bu material üçün söhbət aparılan altı komandadan üçü tam yoxlama aparmamışdı. Lakin ilkin yoxlamalar “Pinduoduo”nun adi alış-veriş funksiyaları üçün tələb olunandan daha çox müxtəlif icazələr istədiyini göstərirdi.

Onların arasında “mümkün müdaxilə icazələri”, məsələn, “fon şəkli qoymaq” və “bildiriş olmadan yükləmək” də var idi, — deyə Avstriyanın Yohannes Kepler Universitetində Şəbəkə və Təhlükəsizlik İnstitutunun rəhbəri Rene Mayrhofer (René Mayrhofer) qeyd edib.

Komandanın buraxılması

“Pinduoduo” tətbiqində zərərli proqram şübhələri ilk dəfə fevralın sonunda Çin kibertəhlükəsizlik şirkəti “Dark Navy” tərəfindən hazırlanmış hesabatda ortaya çıxıb. Tədqiqat şirkətin adını birbaşa çəkməsə də, hesabat sürətlə digər tədqiqatçılar arasında yayılıb və onlar şirkətin adını açıqlayıblar. Bəzi analitiklər öz hesabatları ilə əvvəlki nəticələri təsdiqləyiblər.

Daha sonra, martın 5-də “Pinduoduo” tətbiqinin 6.50.0 versiyası yenilənib və iki mütəxəssisin sözlərinə görə, istismarlar çıxarılıb.

Yeniləmədən iki gün sonra isə “Pinduoduo” istismarları hazırlayan mühəndis və məhsul menecerlərindən ibarət komandanı ləğv edib, — deyə “Pinduoduo”dakı mənbə bildirib.

Növbəti gün komanda üzvləri “Pinduoduo”nun xüsusi işçi kommunikasiya tətbiqi “Knock”dan çıxarılıb və şirkətin daxili şəbəkəsindəki sənədlərə girişlərini itiriblər. Mənbənin sözlərinə görə, mühəndislərin böyük məlumatlar, məlumat cədvəlləri və loq sistemi girişləri də ləğv edilib.

Komandanın çoxu “Temu”da işə keçib. Onlar filialın müxtəlif şöbələrinə təyin ediliblər, bəziləri marketinq və bildiriş hazırlanması sahəsində çalışıb, — deyə mənbə diqqətə çatdırıb.

Təxminən 20 nəfərdən ibarət əsas kibertəhlükəsizlik mühəndisləri komandası “Pinduoduo”da qalır və zəifliklərin tapılması ilə məşğul olur.

“Oversecured”dən Toşin yeniləməyə baxdığını və istismarların çıxarılsa da, əsas kodun hələ də mövcud olduğunu, hücumlar üçün yenidən aktivləşdirilə biləcəyini bildirib.

Nəzarətdə qüsur

Çin hökumətinin 2020-ci ilin sonunda başlayan Böyük Texnologiya şirkətlərinə qarşı tənzimləyici təzyiqləri fonunda “Pinduoduo” istifadəçi bazasını artıra bilib.

Həmin il Sənaye və İnformasiya Texnologiyaları Nazirliyi şəxsi məlumatları qanunsuz toplayan və istifadə edən tətbiqlərlə genişmiqyaslı mübarizəyə başladı.

2021-ci ildə isə Pekin ilk genişmiqyaslı məlumat məxfiliyi qanununu qəbul etdi.

Şəxsi Məlumatların Qorunması Qanununda qeyd olunur ki, heç kim şəxsi məlumatları qanunsuz toplamaq, işləmək və ötürmək hüququna malik deyil. Həmçinin internet təhlükəsizliyi zəifliklərindən sui-istifadə etmək və kibertəhlükəsizliyi təhlükə altına atan hərəkətlər qadağandır. Ekspertlər bildirirlər ki, “Pinduoduo”nun görünən zərərli proqramı qanunu pozur və bu, tənzimləyici qurum tərəfindən aşkarlanmalı idi.

“Bu, Sənaye və İnformasiya Texnologiyaları Nazirliyi üçün utancvericidir, çünki bu, onların işidir”, — deyə “Trivium China”dan texnologiya siyasəti üzrə ekspert Kendra Şefer (Kendra Schaefer) bildirib. “Onlar “Pinduoduo”nu yoxlamalı idilər və heç nə tapmamaları tənzimləyici qurum üçün utancvericidir”.

Nazirlik mütəmadi olaraq istifadəçi məxfiliyinə və digər hüquqlara zərər verən tətbiqləri açıqlayır.