Negli scorsi giorni ha iniziato a circolare con insistenza la notizia che la popolare applicazione di e-commerce Temu, protagonista questa estate del suo debutto sul mercato italiano, sarebbe una sorta di spyware, che lucra sulla rivendita dei nostri dati e/o li trasmette al governo cinese.
Le notizie prendono il là da una ricerca pubblicata sul sito web di Grizzly Research lo scorso sei settembre. Sul sito si afferma che la ricerca si basa sulla decompilazione dell’applicativo nella versione per Android (ma il report contiene anche un breve esame dell’app su iOS), che avrebbe permesso di evidenziare una serie di criticità nel software che consentirebbero una acquisizione di dati degli utenti molto più estesa rispetto a quanto dichiarato dagli sviluppatori.
Le ipotesi di Grizzly Research
Il report, molto esteso ma in alcuni punti lacunoso (basti pensare che sebbene il report citi in più occasioni di aver coinvolto “numerosi esperti” del settore della cybersecurity e inserisca numerose citazioni da parte di questi esperti, non pubblica alcuno dei nomi dei soggetti coinvolti, con il risultato di un report estremamente autoreferenziale e che riposa esclusivamente sui risultati delle analisi informatiche condotte, alcune delle quali non particolarmente rilevanti, come la scansione del file apk su Virus Total) si concentra su tre aspetti:
- la sicurezza informatica dell’app Temu;
- la insostenibilità finanziaria del modello di business di Temu, che legittimerebbe l’ipotesi per cui l’app, che secondo alcuni analisti perde programmaticamente soldi nello spedire ordini a basso costo (almeno in questa fase di start-up), sarebbe progettata non tanto per vendere, quanto per raccogliere dati degli utenti da rivendere e/o consegnare a Pechino;
- la solidità finanziaria della società che rilascia Temu, che secondo il report sarebbe al collasso.
Di questi punti è il primo quello sicuramente più interessante, e Grizzly Research in particolare evidenzia i seguenti punti:
- Utilizzo della compilazione dinamica attraverso la funzione runtime.exec(). Questa funzione a detta di Grizzly Research consentirebbe a Temu di effettuare attività di compilazione direttamente sullo smartphone di chi l’ha scaricata, rendendo di fatto l’app una “scatola” che può contenere altri programmi ignoti (in realtà la funzione è di uso abbastanza frequente e di per sé consente solo la compilazione in loco del codice binario già presente nell’app);
- Una discrasia fra i permessi gestibili dall’app e quelli pubblicizzati nella pagina informativa dell’app (resta il fatto che i permessi devono comunque essere concessi dall’utente perché l’app possa accedervi);
- La possibilità per Temu di accedere al file presenti in “EXTERNAL_STORAGE”, con conseguente possibilità di esfiltrare tali dati (anche qui parliamo di un accesso sottoposto a permesso e che solitamente riguarda la eventuale memoria esterna di uno smartphone, es. una SD card, ad esempio si tratta sostanzialmente degli stessi poteri che ha una qualsiasi altra app cui sia consentito accesso ai file o alla galleria in uno smartphone dotato di memoria espandibile);
- La possibilità per l’app di accedere ai file dello smartphone e alla posizione (di fatto questa critica non riguarda direttamente la sicurezza informatica di Temu, quanto piuttosto le modalità apparentemente innocue con cui questo permesso viene richiesto, ad esempio per poter effettuare l’upload di una fotografia in app, anche se si tratta di un problema che è comune a molte app che usiamo di solito sui nostri smartphone, Grizzly Research rimarca solamente il fatto che nel caso la soglia di attenzione degli utenti dovrebbe essere più elevata perché si parla potenzialmente di trasferire dati in Cina e perché Temu presenta in maniera non trasparente la richiesta rivolta all’utente);
- La possibilità di verificare se lo smartphone su cui è installata ha i permessi di root (di fatto in uno smartphone con permessi di root la possibilità di intervenire sullo stesso sono più estese, e quindi i pericoli per chi ha i permessi e scarica app che accedono ai file sono molto più rilevanti, detto questo anche qui si tratta di una funzione piuttosto comune implementata per ragioni tecniche, basti pensare che anche Amazon ed EBay hanno la stessa funzione);
- La presenza di parti di codice “offuscate” in versioni non più attive dell’app Temu e PinDuoDuo (anche qui però si può trattare di un indice preoccupante così come di un legittimo strumento di tutela della proprietà intellettuale dello sviluppatore);
- La presenza di una funzione per verificare se il telefono entra in modalità debugging. Secondo Grizzly Research la funzione potrebbe essere utilizzata per modificare il comportamento del codice quando l’utente procede ad un debugging via usb (anche qui però si tratta di una funzione abbastanza comune spesso implementata per innocue ragioni tecniche e che ad esempio è presente anche nelle app Amazon ed EBay);
- La presenza di una funzione di log “estesa” che sarebbe in grado di ottenere informazioni sullo stato del dispositivo anche quando l’app non è in uso (si dovrebbe trattare unicamente di log di processi, relativi ad errori e warning);
- La richiesta dell’indirizzo MAC del dispositivo, che poi viene inviata al server e che secondo il report potrebbe consentire ad un soggetto malevolo di lanciare un attacco Distributed Denial of Service DDOS al dispositivo dell’utente (va però evidenziato che l’invio al server in file JSON dell’indirizzo MAC, pur non molto frequente nella pratica, difficilmente può causare problemi all’utente (tanto più un attacco DDOS) vista anche la randomizzazione dell’indirizzo MAC comunicato agli applicativi che è impostata in via predefinita su Android e iOS ormai da parecchi anni);
- La capacità dell’app di effettuare screenshot (anche qui si tratta di una funzione comune per gestire incidenti di sicurezza; il report la presenta come una possibilità di effettuare screenshot di qualsiasi schermata del dispositivo, mentre va rilevato che di default i permessi getWindow(), .getDecorView(), .getRootView() sono limitati a schermate dell’app che li chiede e il report non spiega perché, in questo caso, si possa ritenere che Temu sia in grado di ottenere screenshot di tutte le schermate del dispositivo);
- La presenza di standard di crittografia non adeguati (il report non fornisce però dettagli sul punto);
- la presenza di accessi a fotocamera e microfono, non giustificata dalla natura dell’app (anche qui però si tratta di permessi soggetti al consenso dell’utente);
- la presenza di un complesso sistema di DNS naming per mascherare l’indirizzo a cui l’app effettua una connessione, a partire da un indirizzo IP statico noto (si tratta anche in questo caso di una pratica abbastanza comune, per tutelare i server dello sviluppatore, anche se effettivamente diminuisce la trasparenza del processo di connessione).
L’esame, punto per punto, di quanto emerge dall’analisi tecnica di Grizzly Research permette quindi in parte di ridimensionare le roboanti conclusioni cui giunge l’azienda statunitense nella sua ricerca, anche se va detto che tutte le pratiche denunciate, pur in sé non così preoccupanti come le rappresenta Grizzly Research, possono senz’altro essere utilizzate, da un soggetto criminale, per nascondere parti di codice o connessioni problematiche e/o per utilizzare la propria applicazione al fine di ottenere più dati di quelli dovuti.
Detto questo non c’è nulla di certo: il software dell’app Temu è assimilabile a quello delle App Amazon o EBay, resta il fatto che Temu si spinge un poco oltre le due aziende USA e che il grado di affidabilità dei due colossi statunitensi per un utente europeo appare senz’altro maggiore rispetto a quello di un applicativo appena arrivato sul mercato e sviluppato da una compagine cinese.
È quindi bene esaminare con attenzione chi è l’azienda dietro Temu (e, per converso, anche chi è l’azienda Grizzly Research).
Cosa è Temu
L’app Temu è l’ultimo prodotto dell’azienda PinDuoDuo (PDD), un colosso dell’e-commerce cinese fondato nel 2015 da un ex dipendente di Google, e che inizialmente si era specializzato nella distribuzione via web di prodotti agricoli.
Il modello di business di PinDuoDuo ha avuto un grande successo in Cina puntando sul c.d. social shopping, ovvero più persone si uniscono ad un ordinativo meno costa il prodotto, in questo modo l’azienda può ottimizzare le spese di logistica, riuscendo a servire anche le zone più remote in forza del “volume” di spedizione generato dal gruppo.
In Cina l’app di punta di PinDuoDuo porta lo stesso nome e si tratta di un portale che fino allo scorso marzo era disponibile anche sul play store di Google, prima di essere rimosso da Google per problemi di sicurezza.
In particolare, Google ha diffuso un comunicato in cui ha affermato che alcune versioni dell’app PinDuoDuo scaricabili non dal Play Store ma da store di terze parti conterrebbero software malevolo, potenzialmente in grado di ottenere molti più dati di quelli formalmente concessi all’app. Queste preoccupazioni hanno spinto Google a bloccare anche la possibilità di scaricare l’app sul Play Store ufficiale (sebbene Google abbia affermato di non avere, almeno al tempo del blocco, rilevato malware nell’app disponibile sul Play Store).
La mossa di Google non è però di impatto rilevante per PinDuoDuo, che può tranquillamente continuare ad essere scaricata sul mercato cinese, dove i telefoni Android vengono venduti senza Play Services (e quindi i download di app vengono tutti effettuati da store di terze parti, senza che possa intervenire Google Play Protect a “sconsigliare” o bloccare determinati download).
Se quindi per PinDuoDuo non era un grosso problema il blocco imposto da Google, già allora si era speculato su possibili ripercussioni della vicenda (quantomeno in termini di fiducia dei consumatori) sull’app Temu, ovvero l’app “gemella” di PinDuoDuo ma dedicata al mercato occidentale (similmente a quanto accade per TikTok e DuoYin, la compagnia ha sviluppato due marketplace separati e divisi fin dal nome per il mercato interno e quello internazionale).
Al tempo, infatti, l’app Temu era disponibile sul Play Store già da cinque mesi, ma non è stata menzionata né rimossa da Google.
L’app, che propone prodotti (di qualità dubbia) a prezzi vantaggiosi, si presenta come una alternativa più affidabile rispetto a Wish, la cui immagine aziendale è andata nel tempo deteriorandosi per via della percezione di scarsissima qualità dei suoi prodotti e delle spedizioni, e proprio per questo ha riscosso da subito un importante successo in termini di numero di utenti dapprima in USA e ora anche sul mercato europeo con oltre cento milioni di download.
L’app, ereditando lo stile delle origini di PinDuoDuo, spinge l’utente a nuovi acquisti sulla base di varie strategie, quali sconti incrementali all’aumentare dei prodotti acquistati, lotterie, referral code, etc.
Ed è proprio questa serie di sconti che arrivano alla proposta di prodotti a prezzi risibili (spedizione inclusa) ha fatto dubitare della sostenibilità del modello di business di Temu, anche se c’è da dire che l’azienda è ancora in una fase di start-up ed è quindi possibile che le dinamiche di prezzo non rispondano al solo obiettivo dell’utile ma siano piuttosto orientate ad allargare la base di utenti.
C’è però chi pensa (e tra questi Grizzly Research) che l’obiettivo degli sviluppatori di Temu sia un altro, e cioè quello di raccogliere i nostri dati per rivenderli a terzi o per metterli a disposizione di Pechino.
Cosa è Grizzly Research
Quel che va approfondito, oltre all’accusato, è anche l’accusatore. E nel caso Grizzly Research non brilla certo per trasparenza.
Nel visitare il sito dell’azienda, che si occupa di report su società quotate, si è accolti da un lunghissimo (e sostanzialmente inutile dal punto di vista giuridico) banner obbligatorio che contiene uno scarico di responsabilità il più esteso possibile nei confronti dell’azienda che, si precisa, espone unicamente i propri personali convincimenti sul sito.
Il report contiene una parte tecnica ed una parte più economico/divulgativa, dove ci si concentra sul modello di business di Temu (a detta di Grizzly Research insostenibile) e sulle finanze di PinDuoDuo.
Quel che lascia perplessi dell’esame fornito da Grizzly Research è proprio il fatto che l’articolo sembra progettato più come una consulenza d’investimento per le azioni PDD che come una denuncia delle carenze software dell’app Temu, dove l’azienda si limita a formulare ipotesi (e tiene a precisare che di semplici ipotesi si tratta).
Leggendo il report si nota ad esempio una malcelata insistenza riguardo alla possibilità di un futuro ban di Temu sulla base del DATA Act statunitense (nel caso l’acronimo significa Deterring America’s Technological Adversaries Act), disciplina che sebbene sia stata verosimilmente pensata come strumento agile per un possibile futuro ban di TikTok, potrebbe essere estesa anche a Temu.
Questa digressione, sostanzialmente inutile nell’ottica di denunciare le problematiche dell’app cinese, sembra dimostrare che l’obiettivo di Grizzly Research non è tanto quello di indagare sul comportamento effettivo dell’app Temu, quanto ad indirizzare gli investitori verso il disinvestimento dalla parent company di Temu, PinDuoDuo.
Di fatto Grizzly Research si è anche in passato distinta per notizie di questo tipo che hanno avuto un diretto impatto sul mercato e sul valore delle azioni, ad esempio con il caso Trulieve (che nel 2020 ha fatto causa a Grizzly Research per le notizie sul loro conto che la hanno penalizzata fortemente sul mercato) o WELL Health Tech, che ha subìto un tonfo in borsa dopo un report di Grizzly Research nel 2021.
Il fatto che questi articoli siano ancora online dimostra però che Grizzly Research, tra disclaimer, invocazioni del Primo Emendamento ed effettiva sostanza di contenuti non sia un soggetto inaffidabile, ma rimane lecito dubitare della totale trasparenza di questa azienda, che anche in passato ha “denunciato” con toni drammatici aziende che invece sono ancora vive e vegete e si sono riprese dai momentanei disinvestimenti causati dalle notizie diffuse da Grizzly.
L’esame delle due “parti in causa” consente quindi di affermare che serve cautela sia con Temu che con Grizzly Research, le cui analisi (non del tutto trasparenti) non possono essere prese per oro colato, per quanto siano verosimili.
Quanto sono fondate le ipotesi di Grizzly Research?
Guardiamo quindi i fatti, tenendo conto che da un lato le ipotesi di Grizzly Research sono verosimili, ma che dall’altro queste stridono con la considerazione che Google, nel marzo 2023 ha attenzionato PinDuoDuo, ha sospeso la sua app “principale”, ma non ha sospeso l’app Temu nonostante questa fosse online già da 5 mesi. Né Google ha in seguito (dopo aver, verosimilmente, approfondito l’analisi) sospeso l’app Temu. Allo stesso modo è difficile pensare che Apple non si sia mossa in questo senso, ove l’app fosse davvero un sostanziale spyware cinese.
La sicurezza informatica dell’app, come visto, non è realmente scalfita dall’analisi di Grizzly Reports, che però evidenzia come, in potenza, Temu potrebbe prestarsi ad attività di questo tipo (in maniera un poco più incisiva rispetto a quanto potrebbero fare Amazon o EBay, se volessero iniziare ad usare i nostri dati in maniera illecita).
Tutto sta quindi nella fiducia dell’utente verso il soggetto cui affida i propri dati, e nella consapevolezza che i permessi concessi agli applicativi devono essere concessi con prudenza e ricontrollati periodicamente al fine di ottenere un miglior controllo sulla nostra identità online.
Altra considerazione riguarda la verosimiglianza dell’ipotesi che Temu sia un’app al servizio delle autorità cinesi. Siamo infatti di fronte ad una polemica ricorrente ed invero abusata dalle autorità statunitensi, ma se guardiamo al diritto il plesso di regole sul punto della normativa cinese non è troppo dissimile da quella statunitense (salva la presenza di “ornamenti” tipici del diritto socialista, come il richiamo a valori ed etica del paese quali fari orientatori della normativa e della condotta delle aziende).
Così come il Cloud Act statunitense consente in determinate ipotesi al governo USA di accedere ai dati custoditi (anche all’estero) dalle compagnie statunitensi, allo stesso modo la costellazione di discipline cinesi che gravitano attorno alla Cybersecurity Law consente al governo cinese di fare altrettanto.
Certo è che il diritto statunitense è maggiormente maturo e trasparente rispetto alle opacità della controparte cinese, così come negli States si può fare affidamento su aziende che fanno un punto d’onore nel resistere alle richieste ingiustificate del legislatore (e altrettanto certo non si può dire delle aziende cinesi).
Non è quindi possibile affermare con un ragionevole grado di sicurezza che Temu sia un’app “spia” al soldo di Pechino, ma è possibile affermare che le app cinesi siano (in potenza) sottoposte a controlli più incisivi e meno trasparenti delle loro controparti statunitensi.
Chiaramente il ragionamento appena esposto, se seguito nella sua interezza, dovrebbe spingerci a diffidare anche delle app statunitensi, mentre si è visto che questa sudditanza regolamentata delle aziende USA al governo non ha spaventato molti né spostato il mercato (diversamente Facebook, l’azienda che si è più distinta, in senso negativo, sul punto, non avrebbe nessun utente in Europa, ma così non è).
Conclusioni
Si può quindi affermare che sia necessario esercitare prudenza nello scaricare applicativi come Temu, per il suo modello di business aggressivo e basato (anche sulla base dell’informativa fornita in app) anche sulla profilazione e sulla cessione di dati a terzi. Quanto alla sicurezza informatica dell’app possiamo invece dire che ad oggi, grazie alla ricerca di Grizzly Research, possiamo affermare che esistono dei fattori di rischio nel codice dell’app di Temu, ma non è ancora possibile affermare se davvero si tratti di un’app contenente malware o che viola i nostri dati personali.
C’è quindi da augurarsi che la circolazione della notizia del report di Grizzly Research non abbia come effetto solamente uno scossone in borsa per PinDuoDuo, ma che alla stessa faccia seguito una approfondita e trasparente analisi dell’applicativo a tutela degli utenti.