Thế nhưng, theo các nhà nghiên cứu an ninh mạng, ứng dụng này có thể theo dõi các hoạt động trên các ứng dụng khác, kiểm tra thông báo, đọc tin nhắn riêng tư và thay đổi cài đặt trên điện thoại của người dùng.
Sự leo thang nguy hiểm
Các chuyên gia cho biết gã khổng lồ thương mại điện tử Pinduoduo đã đưa các hành vi vi phạm quyền riêng tư và bảo mật dữ liệu lên “tầm cao mới”. Trong cuộc điều tra chi tiết, gần 10 nhóm an ninh mạng từ châu Á đến châu Âu và Mỹ, xác định sự hiện diện của phần mềm độc hại trên ứng dụng Pinduoduo đã khai thác các lỗ hổng trong hệ điều hành Android.
Giám đốc nghiên cứu của WithSecure - công ty an ninh mạng của Phần Lan, cho biết: “Chúng tôi chưa từng thấy ứng dụng chính thống nào như thế này. Nó đang cố gắng truy cập vào những thứ mà lẽ ra nó không được phép truy cập”.
Phần mềm độc hại tinh vi trong ứng dụng Pinduoduo xuất hiện trong bối cảnh các ứng dụng do Trung Quốc phát triển như TikTok bị giám sát chặt chẽ. Do vậy các hành động bị cáo buộc của Pinduoduo có nguy cơ phủ bóng đen lên sự mở rộng toàn cầu của ứng dụng của nó.
Dù không có bằng chứng nào cho thấy Pinduoduo đã trao dữ liệu cho chính phủ Trung Quốc, song các nhà lập pháp Mỹ lo ngại bất kỳ công ty nào hoạt động tại Trung Quốc đều có thể bị buộc phải hợp tác với các hoạt động an ninh. Trước đó, Google đình chỉ Pinduoduo khỏi Play Store vào tháng 3, với lý do phần mềm độc hại được xác định trong các phiên bản của ứng dụng. Báo cáo từ Bloomberg cho biết, một công ty an ninh mạng của Nga cũng đã xác định được phần mềm độc hại tiềm ẩn trong ứng dụng này.
Các nhà nghiên cứu từ công ty mạng Check Point Research có trụ sở tại Tel Aviv (Israel), cùng với công ty bảo mật ứng dụng Oversecured có trụ sở tại Delaware, đã tiến hành phân tích độc lập phiên bản 6.49.0 của ứng dụng, được phát hành trên các cửa hàng ứng dụng Trung Quốc vào cuối tháng 2.
Vào tháng 3, khi Google đình chỉ Pinduoduo, họ cho biết đã tìm thấy phần mềm độc hại trong các phiên bản của ứng dụng. Các nhà nghiên cứu đã tìm thấy mã được thiết kế để đạt được “sự leo thang đặc quyền”: một kiểu tấn công mạng khai thác một hệ điều hành dễ bị tổn thương để đạt được mức truy cập dữ liệu cao hơn so với mức cần thiết.
Check Point Research cũng xác định được những cách ứng dụng có thể trốn tránh sự giám sát. Các nhà nghiên cứu cho biết, ứng dụng đã triển khai phương pháp cho phép nó đẩy các bản cập nhật mà không cần quy trình đánh giá cửa hàng ứng dụng nhằm phát hiện các ứng dụng độc hại. Họ cũng xác định Pinduoduo che giấu các thành phần độc hại tiềm ẩn trong một số trình cắm bằng cách ẩn chúng dưới các tên tệp hợp pháp, chẳng hạn như của Google.
Nhắm mục tiêu Android
Sergey Toshin, người sáng lập Oversecured, cho biết phần mềm độc hại của Pinduoduo nhắm mục tiêu cụ thể vào các hệ điều hành dựa trên Android khác nhau, bao gồm cả những hệ điều hành được sử dụng bởi Samsung, Huawei, Xiaomi và Oppo. Toshin mô tả Pinduoduo là “phần mềm độc hại nguy hiểm nhất” từng được tìm thấy trong số các ứng dụng chính thống. Hầu hết nhà sản xuất điện thoại trên toàn cầu đều tùy chỉnh phần mềm cốt lõi của Android, Dự án nguồn mở Android (AOSP), để thêm các tính năng và ứng dụng độc đáo vào thiết bị của riêng họ.
Toshin nhận thấy Pinduoduo đã khai thác khoảng 50 lỗ hổng hệ thống Android. Ông nói, hầu hết lỗ hổng được thiết kế riêng cho các bộ phận tùy chỉnh được gọi là mã của nhà sản xuất thiết bị gốc (OEM), có xu hướng ít được kiểm tra thường xuyên hơn AOSP và do đó dễ bị tổn thương hơn. Pinduoduo cũng khai thác một số lỗ hổng AOSP, bao gồm một lỗ hổng đã được Toshin gắn cờ cho Google vào tháng 2-2022. Google đã sửa lỗi này vào tháng 3.
Theo Toshin, việc khai thác đã cho phép Pinduoduo truy cập vào vị trí, danh bạ, lịch, thông báo và album ảnh của người dùng không cần sự đồng ý của họ. Nó cũng có thể thay đổi cài đặt hệ thống và truy cập vào các tài khoản mạng xã hội và cuộc trò chuyện của người dùng, vượt quá các chức năng thông thường của một ứng dụng mua sắm. René Mayrhofer, người đứng đầu Viện Mạng và An ninh tại Đại học Johannes Kepler Linz ở Áo, cho biết chúng bao gồm “các quyền có khả năng xâm phạm” như “đặt hình nền” và “tải xuống mà không cần thông báo”.
Lỗi giám sát?
Các chuyên gia chính sách công nghệ cho biết, phần mềm độc hại của Pinduoduo vi phạm các luật đó và lẽ ra phải được cơ quan quản lý phát hiện. Kendra Schaefer, chuyên gia chính sách công nghệ tại công ty tư vấn Trivium China, cho biết: “Điều này sẽ khiến Bộ Công nghiệp và Công nghệ thông tin bối rối vì đây là công việc của họ. Họ phải kiểm tra Pinduoduo, và việc họ không tìm thấy khiến cơ quan quản lý xấu hổ”.
Trong khi đó bộ này thường xuyên công bố danh sách các ứng dụng bị phát hiện làm suy yếu quyền riêng tư hoặc các quyền khác của người dùng; công bố một danh sách riêng các ứng dụng bị xóa khỏi các cửa hàng ứng dụng do không tuân thủ các quy định. Vậy nhưng Pinduoduo không xuất hiện trên bất kỳ danh sách nào.
Một số chuyên gia an ninh mạng đã đặt câu hỏi tại sao các cơ quan quản lý không có bất kỳ hành động nào. “Có lẽ không ai trong số các cơ quan quản lý lại không hiểu mã hóa và lập trình, không hiểu công nghệ; thậm chí không thể hiểu được mã độc khi nó hiện ra ngay trước mặt” - một chuyên gia an ninh mạng với 1,8 triệu người theo dõi, đã viết trong một bài đăng lan truyền trên Weibo, một nền tảng giống như Twitter.