Mỹ vừa cảnh báo những rủi ro dữ liệu xoay quanh trang web mua sắm giá rẻ Temu sau khi ứng dụng chị em Trung Quốc của nó, Pinduoduo, bị gỡ khỏi cửa hàng ứng dụng vì “phần mềm độc hại”.
Trước đó, phần mềm trong Pinduoduo được phát hiện có thể tận dụng các lỗ hổng trên điện thoại Android, cho phép ứng dụng bỏ qua quyền bảo mật của người dùng, truy cập tin nhắn riêng tư, sửa đổi cài đặt, xem dữ liệu từ các ứng dụng khác và ngăn chặn quá trình gỡ cài đặt. Google gọi đây là “ứng dụng độc hại”, sau đó kêu gọi người dùng gỡ Pinduoduo.
Theo phân tích của Kevin Reed, giám đốc an ninh thông tin của công ty an ninh mạng Acronis, Pinduoduo yêu cầu người dùng tới 83 quyền, trong đó có quyền truy cập sinh trắc học, Bluetooth và thông tin về mạng Wifi. “Một số yêu cầu dường như là bất thường đối với một ứng dụng thương mại điện tử”, Reed nói.
Theo CNBC, Pinduoduo là một ứng dụng thương mại điện tử có trụ sở tại Trung Quốc, bán mọi thứ trên đời từ hàng tạp hóa đến quần áo. Đây là ‘con cưng’ chủ lực của tập đoàn PDD Holdings, công ty mẹ Temu.
“Không cần lưu trữ dữ liệu sinh trắc học trên trang web hoặc ứng dụng thương mại điện tử. Cá nhân tôi không muốn dữ liệu của mình được lưu trữ ở bất kỳ nơi nào khác ngoài thiết bị của mình”, Sean Duca, phó chủ tịch kiêm giám đốc an ninh khu vực Châu Á Thái Bình Dương và Nhật Bản tại công ty an ninh mạng Palo Alto Networks cho biết. “Sinh trắc học vô cùng giá trị. Nó không thể đơn giản thay đổi như mật khẩu”.
Trả lời câu hỏi tại sao cần truy cập thông tin Wifi, Duca cảnh báo: “Đây có thể trở thành mục tiêu béo bở cho tội phạm mạng khi chúng có quyền truy cập vào thông tin này. Tại sao một nhà cung cấp thương mại điện tử lại cần điều đó chứ?”
Quay trở lại với Temu - ứng dụng đang chiếm lĩnh thị trường Mỹ như vũ bão. Chỉ 17 ngày sau khi ra mắt, nó đã vượt qua Instagram, WhatsApp, Snapchat và Shein trên App Store ở Mỹ, theo dữ liệu của Apptopia.
May mắn, các chuyên gia cho rằng Temu không yêu cầu nhiều quyền truy cập như Pinduoduo.
“Pinduoduo tích cực hơn nhiều trong việc thu thập thông tin của người dùng”, Reed nói, đồng thời cho biết ứng dụng Temu chỉ yêu cầu 24 quyền, trong đó có quyền truy cập vào Bluetooth.
“Không có báo cáo chính thức nào về sự độc hại có trong các phiên bản chính thức trên Google Play, App Store hoặc bên thứ ba của Temu”, Daniel Thanos, phó chủ tịch Arctic Wolf Labs, bộ phận tình báo mối đe dọa của công ty an ninh mạng Arctic Wolf cho biết. “Dựa trên phân tích của chúng tôi, có vẻ như phần mềm độc hại này chủ yếu nhắm đến người dùng Trung Quốc vì các thiết bị thường được bán và sử dụng ở Trung Quốc như Xiaomi, Vivo, Oppo, Samsung… chính là mục tiêu”, Thanos nói.
Trước đó, trong một báo cáo được công bố vào tháng 4, Ủy ban Đánh giá An ninh và Kinh tế Mỹ-Trung Quốc đã cáo buộc Temu và Shein gây ra rủi ro về dữ liệu.
“Shein và Temu chủ yếu dựa vào việc người tiêu dùng Mỹ tải xuống và sử dụng ứng dụng Trung Quốc để quản lý và phân phối sản phẩm”, báo cáo này cho biết. “Thành công thương mại của các công ty này đã khuyến khích startup và các nền tảng thương mại điện tử lâu đời của Trung Quốc sao chép mô hình, từ đó gây ra rủi ro và thách thức đối với các quy định, luật pháp và nguyên tắc tiếp cận thị trường Mỹ”.
Được biết trong nhiều năm, các ứng dụng do Trung Quốc sở hữu phải đối mặt với sự giám sát gắt gao tại Mỹ. Các nhà lập pháp cảnh báo rằng bất kỳ ứng dụng nào do Trung Quốc sở hữu đều có thể dễ bị xâm phạm quyền riêng tư hoặc bị chính phủ Trung Quốc can thiệp.
Dẫu vậy, vẫn chưa có bằng chứng nào chứng minh cho những tuyên bố đó. Số ít các chuyên gia đều không quá lo lắng về các ứng dụng mua sắm trực tuyến.
“Từ quan điểm an ninh quốc gia, ngoài việc tạo hồ sơ người dùng với tất cả các dữ liệu, chỉ các nền tảng truyền thông xã hội như TikTok mới có khả năng lựa chọn, quảng bá và giảm hạng nội dung dựa trên các số liệu không rõ ràng. Chúng tôi thực sự không biết nhiều thông tin chi tiết”, Lindsay Gorman, thành viên cấp cao về công nghệ mới nổi tại Quỹ Marshall của Đức cho biết.
Mới đây nhất, cuộc phỏng vấn mới đây với 7 nhân viên, cựu nhân viên và hơn 60 báo cáo tài liệu, hình ảnh và video từ các trung tâm dữ liệu tiết lộ TikTok có nhiều lỗ hổng bảo mật. Đây là hệ lụy sau khi ứng dụng này cố gắng tăng dung lượng lưu trữ quá nhanh và đôi khi, đi tắt đón đầu.
Tài liệu cũng cho thấy trung tâm dữ liệu TikTok vẫn gắn liền với hoạt động kinh doanh của ByteDance tại Trung Quốc. Các trung tâm dữ liệu sử dụng máy chủ được sản xuất bởi Inspur - một công ty do Trung Quốc kiểm soát và từng bị Bộ Thương mại Mỹ liệt vào danh sách đen. Các đơn đặt hàng cũng được gửi đến trung tâm dữ liệu bởi Beijing ByteDance Technology - công ty con của ByteDance.
Thượng nghị sĩ Mark Warner, người đã dẫn đầu nỗ lực cấm TikTok của Thượng viện trong những tháng gần đây, cho biết: “Mỗi câu chuyện mới làm dấy lên nhiều lo ngại hơn và cung cấp thêm bằng chứng về việc TikTok không trung thực đối với hoạt động bảo mật dữ liệu của mình”.
Bruce Schneier, một thành viên tại Trung tâm Internet & Công nghệ Berkman Klein Harvard trước đó cũng đã lưu ý về các vấn đề về bảo mật xảy ra trong toàn ngành công nghệ. “Tôi chắc chắn có sơ suất. Giống như bất kỳ công ty công nghệ lớn nào, họ chỉ quan tâm đến lợi nhuận trong khi bảo mật quá tốn kém”.