Ứng dụng mua sắm Pinduoduo bị Google đình chỉ vào tháng 3 sau khi bị phát hiện có chứa phần mềm độc hại. Một nhà phân tích cho biết, Temu cũng không tránh khỏi rủi ro trên nếu chứa phần mềm độc hại.
Tại sao Pinduoduo bị Google gỡ bỏ?
Phần mềm độc hại trong Pinduoduo được phát hiện khi tận dụng các lỗ hổng cụ thể dành cho điện thoại Android. Lỗ hổng này cho phép ứng dụng bỏ qua quyền bảo mật của người dùng, truy cập tin nhắn riêng tư, sửa đổi cài đặt, xem dữ liệu từ các ứng dụng khác và ngăn quá trình gỡ cài đặt.
Google gọi đó là “ứng dụng độc hại” và kêu gọi người dùng gỡ cài đặt ứng dụng Pinduoduo. Tuy nhiên, nhà bán lẻ trực tuyến Trung Quốc đã bác bỏ những tuyên bố đó.
Theo phân tích của Kevin Reed, giám đốc an ninh thông tin của công ty an ninh mạng Acronis, Pinduoduo yêu cầu tới 83 quyền, bao gồm quyền truy cập vào sinh trắc học, Bluetooth và thông tin về mạng Wifi. Trong khi, ứng dụng Temu yêu cầu 24 quyền, bao gồm quyền truy cập vào Bluetooth và thông tin về mạng Wifi.
Reed, người đã chia sẻ phân tích của mình về cả hai ứng dụng với CNBC cho biết: “Một số quyền mà Pinduoduo đang yêu cầu dường như là quá đòi hỏi đối với một ứng dụng thương mại điện tử”.
Pinduoduo là một ứng dụng thương mại điện tử có trụ sở tại Trung Quốc, bán mọi thứ từ hàng tạp hóa đến quần áo. Đây là sản phẩm chủ lực của công ty Trung Quốc PDD Holdings được niêm yết trên Nasdaq và cũng sở hữu Temu. Trụ sở chính của Temu được đặt tại Boston.
Tuy nhiên, Pinduoduo tích cực hơn trong việc thu thập thông tin của người dùng và rõ ràng là thu thập để chuyển thông tin đó về công ty.
“Không cần lưu trữ dữ liệu sinh trắc học trên trang web hoặc ứng dụng thương mại điện tử. Cá nhân tôi không muốn dữ liệu sinh trắc học của mình được lưu trữ ở bất kỳ nơi nào khác ngoài thiết bị của mình,” Sean Duca, phó chủ tịch kiêm giám đốc an ninh khu vực Châu Á Thái Bình Dương và Nhật Bản tại công ty an ninh mạng Palo Alto Networks nói.
Ông Duca cũng cho biết: “Sinh trắc học có giá trị lớn hơn nhiều so với bất kỳ thứ gì khác, bởi vì tôi không thể đơn giản thay đổi dấu vân tay của mình, không giống như mật khẩu.”
Ông cũng đặt câu hỏi tại sao cần truy cập thông tin Wifi. Ông Duca cảnh báo: Nếu đó là Wifi của công ty mà người dùng kết nối, nó sẽ “trở thành mục tiêu rất béo bở cho tội phạm mạng khi chúng bắt đầu thực sự có quyền truy cập vào thông tin này. Nhưng tại sao một nhà cung cấp thương mại điện tử lại thực sự cần điều đó?”
Temu sẽ làm gì trước những cáo buộc rủi ro dữ liệu?
Temu, được mệnh danh là kẻ bắt chước nhãn hiệu thời trang nhanh Shein, đang chiếm lĩnh thị trường Mỹ như một cơn bão.
Chỉ 17 ngày sau khi ra mắt vào tháng 9, ứng dụng này đã vượt qua Instagram, WhatsApp, Snapchat và Shein trên Apple App Store ở Mỹ. Theo dữ liệu của Apptopia, Temu ra mắt tại Vương quốc Anh vào tháng 3, chỉ vài tuần sau khi vào Úc và New Zealand.
“Không có báo cáo nào về chức năng độc hại có trong các phiên bản chính thức của Play, App Store hoặc bên thứ ba của Temu. Các khóa được sử dụng để ký hiệu phần mềm độc hại Pinduoduo không giống với các khóa được sử dụng để ký hiệu ứng dụng Temu,” Daniel Thanos, phó chủ tịch và người đứng đầu Arctic Wolf Labs, bộ phận tình báo mối đe dọa của công ty an ninh mạng Arctic Wolf cho biết.
“Dựa trên phân tích của chúng tôi, có vẻ như phần mềm độc hại này chủ yếu nhắm mục tiêu đến người dùng Trung Quốc. Vì nó nhắm mục tiêu đến các thiết bị thường được bán và sử dụng ở Trung Quốc như Xiaomi, Vivo, Oppo, Samsung… và các ứng dụng tương ứng của họ,” ông Thanos nói.
Những lo ngại về rủi ro dữ liệu
Trong một báo cáo về các nền tảng “thời trang nhanh” của Trung Quốc được công bố vào tháng 4, Ủy ban Đánh giá An ninh và Kinh tế Mỹ-Trung Quốc đã cáo buộc Temu và Shein gây ra rủi ro dữ liệu có thể xảy ra.
Shein và Temu “chủ yếu dựa vào việc người tiêu dùng Mỹ tải xuống và sử dụng các ứng dụng của Trung Quốc để quản lý và phân phối sản phẩm,” báo cáo cho biết.
Thành công thương mại của các công ty này đã khuyến khích cả các nền tảng thương mại điện tử lâu đời của Trung Quốc và các công ty khởi nghiệp sao chép mô hình của họ, gây ra rủi ro và thách thức đối với các quy định, luật pháp và nguyên tắc tiếp cận thị trường của Mỹ.
Các ứng dụng do Trung Quốc sở hữu phải đối mặt với sự giám sát gắt gao ở Mỹ vì những lo ngại về bảo mật. Các nhà lập pháp Mỹ đã cảnh báo bất kỳ ứng dụng nào do Trung Quốc sở hữu đều có thể dễ bị xâm phạm quyền riêng tư dữ liệu hoặc bị chính phủ Trung Quốc can thiệp.
Mặc dù các chính trị gia thường cáo buộc các công ty Trung Quốc cung cấp dữ liệu cho chính phủ Trung Quốc, nhưng không có bằng chứng nào chứng minh cho những tuyên bố đó.
“Từ quan điểm an ninh quốc gia, ngoài việc tạo hồ sơ người dùng với tất cả các dữ liệu này, các nền tảng truyền thông xã hội còn có khả năng lựa chọn, quảng bá và giảm hạng nội dung dựa trên các số liệu không rõ ràng. Chúng tôi thực sự không có thông tin chi tiết.” Lindsay Gorman, thành viên cấp cao về công nghệ mới nổi tại Quỹ Marshall của Đức cho biết.
TikTok có thể phải đối mặt với lệnh cấm ở Mỹ sau lời khai của Giám đốc điều hành Shou Zi Chew trước Quốc hội. Điều này không thể dập tắt mối lo ngại của các nhà lập pháp về mối quan hệ của ứng dụng với Trung Quốc hoặc tính đầy đủ của Dự án Texas.
“ByteDance không thuộc sở hữu hay kiểm soát của chính phủ Trung Quốc. Đó là một công ty tư nhân,” ông Chew giải thích trong phiên điều trần.
Trong cuộc phỏng vấn công khai đầu tiên kể từ phiên điều trần trước quốc hội, ông Chew cho biết tại hội nghị TED2023 tuần trước: “Chúng tôi đang xây dựng tất cả các công cụ để ngăn chặn bất kỳ sự can thiệp nào của chính phủ Trung Quốc vào cuộc bầu cử Mỹ”. Đồng thời, ông Chew cũng rất tự tin rằng rủi ro có thể giảm xuống gần bằng 0 với dự án Texas.