Temu, la aplicación china de compras que se ha hecho tan popular en varias partes del mundo que incluso Amazon está intentando imitarla, es un “malware peligroso” que está monetizando en secreto una amplia cantidad de datos no autorizados de los usuarios, según alegó el fiscal general de Arkansas (EE UU), Tim Griffin, en una demanda presentada el martes.
Griffin citó informes de investigación y de los medios de comunicación que exponen el diseño supuestamente pernicioso de Temu, que “a propósito” permite a Temu “obtener acceso sin restricciones al sistema operativo del teléfono de un usuario, incluidos, entre otros, la cámara, la ubicación específica, los contactos, los mensajes de texto, los documentos y otras aplicaciones”.
¿Es Temu una amenaza para la seguridad de EE UU?
“Temu está diseñada para realizar este acceso expansivo sin ser detectada, incluso por usuarios avanzados”, afirmaba la denuncia de Griffin. “Una vez instalada, Temu es capaz de volver a compilarse a sí misma y cambiar propiedades, incluida la anulación de la configuración de privacidad de datos que los usuarios creen tener establecida”.
Griffin teme que Temu pueda acceder prácticamente a toda la información del teléfono de una persona, exponiendo tanto a los usuarios como a quienes no lo son a riesgos extremos de privacidad y seguridad. Al parecer, cualquiera que envíe un mensaje de texto o un email a alguien con la app de compras instalada se arriesga a que Temu obtenga datos privados, según la demanda de Griffin, que después Temu supuestamente monetiza vendiéndolos a terceros, “lucrándose directamente a costa” de los derechos de privacidad de los usuarios.
Para “agravar” los riesgos está la posibilidad de que los propietarios chinos de Temu, PDD Holdings, estén legalmente forzados a compartir información con el Gobierno de China, señala la denuncia, debido a las “leyes chinas que obligan a cooperar en secreto con el aparato de inteligencia de China, independientemente de las garantías de protección de datos que existan en Estados Unidos”.
La demanda de Griffin citaba una extensa investigación legal sobre Temu realizada por la firma Grizzly Research, que analiza empresas que cotizan en bolsa para orientar a los inversionistas, el pasado mes de septiembre. En su informe, Grizzly Research sostenía que PDD Holdings es una “compañía fraudulenta” y que “Temu es un programa espía hábilmente oculto que supone una amenaza urgente para la seguridad de los intereses nacionales de Estados Unidos”.
En opinión de Griffin, Temu atrae a los usuarios con promesas engañosas de productos de calidad y con descuentos, y trata de acceder a la mayor cantidad posible datos añadiendo funciones adictivas que los mantienen conectados, como hacer girar una ruleta para conseguir ofertas. Mientras tanto, cientos de quejas ante la Oficina de Buenas Prácticas Comerciales demostraron que los productos de Temu son en realidad de baja calidad, argumentó Griffin, corroborando aparentemente su aseveración de que el objetivo final de Temu no es ser la mayor plataforma de compras del mundo, sino robar información.
Los investigadores coincidieron, según la demanda, y llegaron a la conclusión de que “sospechamos firmemente que Temu ya vende ilegalmente, o pretende hacerlo, datos robados de clientes de países de Occidente para sostener un modelo de negocio que, de lo contrario, está condenado al fracaso”.
Griffin espera que un jurado declare que las supuestas prácticas de Temu violan la Ley de Prácticas Comerciales Engañosas (ADTPA, por sus siglas en inglés) y la Ley de Protección de la Información Personal, ambas normativas de Arkansas. Si Temu pierde, tendría que pagar 10,000 dólares por cada infracción de la ADTPA y se le ordenaría restituir las ganancias obtenidas por la comercialización de datos y las ventas engañosas de la aplicación.
Temu está “sorprendida” por la demanda
La empresa propietaria de Temu, PDD Holdings, fue fundada en 2015 por un exempleado de Google, Colin Huang. Originalmente tenía su sede en China, pero tras plantearse problemas de seguridad, la compañía trasladó sus “oficinas centrales de dirección” a Irlanda, según la demanda. De acuerdo con Griffin, con ello se pretendía distanciar a la organización del debate sobre los riesgos para la seguridad nacional de Estados Unidos que plantea China, pero dado que la mayoría de sus operaciones comerciales siguen realizándose en territorio chino, los riesgos supuestamente persisten.
El traslado de PDD Holdings se produjo en medio de un mayor escrutinio de Pinduoduo, la aplicación china en la que se basa la plataforma de compras de Temu. El año pasado, Pinduoduo fue objeto de críticas por riesgos para la privacidad y la seguridad que provocaron la suspensión de la app en Google Play como presunto malware. Los expertos manifestaron que Pinduoduo llevó los riesgos de seguridad y privacidad “al siguiente nivel”, decía la demanda. Y “más o menos al mismo tiempo”, la App Store de Apple también identificó como engañosas las condiciones de privacidad de la información de Temu, lo que intensificó aún más la vigilancia sobre dos de las aplicaciones más importantes de PDD Holdings, establece el documento.
Los investigadores descubrieron que Pinduoduo “estaba programado para burlar la seguridad del teléfono de los usuarios con el fin de controlar las actividades en otras apps, comprobar notificaciones, leer mensajes privados y cambiar ajustes”, destaca la demanda. “También podía espiar a los competidores rastreando la actividad en otras apps de compras y obteniendo información de ellas”, así como “ejecutarse en segundo plano e impedir que se desinstalara”. Al parecer, la motivación del diseño malicioso era “aumentar las ventas”.
De acuerdo con Griffin, las mismas preocupaciones que hicieron que se suspendiera Pinduoduo el año pasado siguen existiendo actualmente para los usuarios de Temu, pero la App Store y Google Play presuntamente no han tomado medidas para evitar el acceso no autorizado a los datos de los usuarios. Un año después del lanzamiento de Temu, los “mismos ingenieros de software y jefes de producto que desarrollaron Pinduoduo” supuestamente “empezaron a trabajar en la app de Temu”.
Google y Apple no respondieron inmediatamente a la solicitud de comentarios de Ars Technica.
Un representante de Temu facilitó una declaración a Ars Technica, desacreditando la investigación de Grizzly Research y confirmando que la compañía estaba “sorprendida y decepcionada de la Oficina del Fiscal General de Arkansas por presentar la demanda sin ninguna investigación independiente de los hechos”.
“Las acusaciones de la demanda se basan en información errónea difundida en internet, principalmente por un vendedor en corto, y son totalmente infundadas”, resaltó el vocero de Temu. “Negamos categóricamente las acusaciones y nos defenderemos enérgicamente”.
Aunque Temu planea defenderse de las demandas, la compañía también parece estar potencialmente abierta a realizar cambios a partir de las críticas formuladas por Griffin en el caso.
“Entendemos que, como empresa nueva con un modelo innovador de cadena de suministro, algunos quizá nos malinterpreten a primera vista y no nos vean con buenos ojos”, declaró el representante de Temu. “Estamos comprometidos a largo plazo y creemos que el escrutinio beneficiará en definitiva a nuestro desarrollo. Confiamos en que nuestras acciones y contribuciones a la comunidad hablarán por sí solas con el tiempo”.
¿Por qué Temu se consideraría un malware?
El año pasado, Temu fue la aplicación más descargada en Estados Unidos, señalaba la denuncia de Griffin, mientras que la mayoría de los usuarios no tenían forma de saber que la aplicación supuestamente recopilaba «una cantidad escandalosa de datos confidenciales» que iba “más allá de lo necesario para una app de compras online”.
Conforme a la denuncia, Temu presuntamente oculta su acceso no autorizado a la información mediante condiciones de uso y políticas de privacidad engañosas que no alertan sobre el alcance total de los datos que la aplicación recaba potencialmente. Eso incluye no advertir a los usuarios sobre el rastreo de ubicaciones concretas sin una finalidad definida y la recopilación “incluso de datos biométricos, como las huellas dactilares”.
Los escáneres de seguridad de las tiendas de aplicaciones no detectan los riesgos potenciales de Temu, según la denuncia, porque Temu “cambia su propio código una vez que se descarga en el teléfono del usuario”, lo que básicamente significa que puede transformarse en malware una vez que pasa las medidas de control.
Eso permite aparentemente a Temu “explotar” la información de identificación personal (PII, por sus siglas en inglés) del usuario “y otros datos o controlar de otro modo el dispositivo del usuario, de formas desconocidas e indeterminadas”. Para ello, al igual que Pinduoduo, Temu se basa supuestamente en “código diseñado para lograr la ‘escalada de privilegios’, un tipo de ciberataque que aprovecha un sistema operativo vulnerable para obtener un nivel de acceso a los datos superior al autorizado”.
Entre otras características de diseño sospechosamente maliciosas, Temu parece eludir fácilmente los escaneos de seguridad al depender de una “función de nombre críptico” de su código fuente que “no es visible antes o durante la instalación de la aplicación, o incluso con pruebas de penetración sofisticadas”, encontró Grizzly Research. Esta función supuestamente “permite a la app cambiar su comportamiento, y posiblemente toda su finalidad, en el teléfono del usuario, sin que nadie lo sepa, y mucho menos impedir tal modificación”.
Esto también facilitaría que Temu se escondiera de los programas depuradores que identifican malware, según la denuncia, simplemente cambiando el comportamiento de la app una vez que se detecta un escaneo de seguridad por parte del usuario.
En los teléfonos Android, Temu también utiliza presuntamente lo que Google considera un “permiso de alto riesgo o sensible” para instalar cualquier programa que desee “sin el conocimiento o control del usuario”. Aunque algunas aplicaciones requieren esta autorización para funcionar, “no hay ningún uso justificable para esta función en la aplicación Temu, que en teoría es simplemente una plataforma de ecommerce”, subraya la denuncia.
“La capacidad de eludir los sistemas de seguridad del teléfono es peligrosa porque permite potencialmente a Temu leer los mensajes privados del usuario, cambiar la configuración del teléfono y rastrear las notificaciones”, advertía el documento, razón por la cual la investigación de Grizzly considera a Temu “el paquete de malware/spyware más peligroso actualmente en circulación”. Y otros expertos en seguridad han señalado a Temu como “aún más ‘perjudicial’” que Pinduoduo, apunta la demana de Griffin.
De acuerdo con los datos de Statista, Temu no ha hecho más que aumentar su popularidad a medida que han ido apareciendo informes sobre riesgos para la seguridad y la privacidad. En mayo, “la app se descargó más de 52 millones de veces en todo el mundo, lo que la vuelve más popular que la aplicación del marketplace de Amazon”. A medida que se dispara la fama de Temu, Griffin espera intervenir para detener las prácticas comerciales aparentemente engañosas e infractoras de la privacidad que afectarían a millones de personas.
Temu y PDD Holdings “emplean el engaño, en forma de tergiversación, omisión y encubrimiento deliberado, para enmascarar el comportamiento de la aplicación Temu, ocultar el hecho de que se está extrayendo PII del dispositivo del usuario e impedir que este sepa que dicha información está sujeta a un uso sin restricciones por parte de otras personas y de un gobierno adversario”, destacaba la demanda.
(Fuente: Wired.com)
