ในเดือนมีนาคม ปี 2023 Google ระงับการใช้แอปของ Pinduoduo บริษัทแม่ของ Temu หลังจากค้นพบมัลแวร์ในซอฟต์แวร์เวอร์ชันที่อยู่นอก Play Store ซึ่งถูกฝังจากการใช้ช่องโหว่ zero-day เพื่อเข้าถึงและรวบรวมข้อมูลผู้ใช้งาน โดยมีบางกรณีที่ถึงขั้น "ลบแอปคู่แข่งออกไปได้" จนทำให้คณะกรรมการพิจารณาเศรษฐกิจและความมั่นคงสหรัฐอเมริกา–จีนแสดงความกังวลต่อทั้งเรื่องนี้ การแสวงหาประโยชน์จากช่องโหว่ทางการค้า กระบวนการผลิต ความปลอดภัยของผลิตภัณฑ์ การละเมิดลิขสิทธิ์ และการบังคับใช้แรงงานด้วย
และหลังจากนั้นมา Temu ก็เผชิญกับข้อกล่าวหาและคดีความหลายเรื่อง ทั้งการใช้กลอุบายต่าง ๆ เพื่อเข้าถึงและรวบรวมข้อมูลส่วนตัวของผู้ใช้งาน การละเมิดกฎความเป็นส่วนตัวของแอปเปิลและสร้างความเข้าใจผิดต่อการใช้ข้อมูลของผู้ใช้งาน และการฝังมัลแวร์ลงในอุปกรณ์ของผู้ใช้งาน
Grizzly Research LLC บริษัทซึ่งจัดทำข้อมูลเชิงลึกเกี่ยวกับการวิจัยบริษัทจดทะเบียนในตลาดหลักทรัพย์สหรัฐฯ เปิดเผยในรายงานเมื่อปี 2023 ว่า พวกเขาติดต่อผู้เชี่ยวชาญอิสระด้านความปลอดภัยข้อมูลจำนวนมากเพื่อแยกและวิเคราะห์โค้ดของแอป Temu ในระบบแอนดรอยด์ โดยบูรณาการกับผู้เชี่ยวชาญของพวกเขาเองและนักวิเคราะห์อิสระอื่น ๆ จนพบว่า เมื่อเทียบกับ Shein, Alibaba, Amazon, TikTok และ eBay แล้ว Temu ขออนุญาตการเข้าถึงอุปกรณ์ด้านต่างๆ มากที่สุด เช่น
dynamic compile ด้วย runtime.exec() ซึ่งหมายความว่าแอปสามารถสร้างโปรแกรมใหม่ด้วยตัวเองได้
คำขออนุญาตการเข้าถึงหลายรายการจาก source code ของแอปไม่ปรากฎอยู่ใน Android Manifest ซึ่งเป็นไฟล์ที่เอาไว้อธิบายข้อมูลต่างที่เกี่ยวกับแอป
query ข้อมูลโดยอ้างอิง EXTERNAL_STORAGE, สิทธิ SuperUser (ซึ่งใช้ในการรูท) และไฟล์ log รวมถึงตรวจจับได้ว่าอุปกรณ์มี root access หรือไม่ หมายความว่า แอปนี้สามารถใช้เพื่ออ่าน ประมวลผล และแก้ไขข้อมูลผู้ใช้และระบบทั้งหมด เช่น บันทึกแชท รูปภาพ และเนื้อหาของผู้ใช้บนแอปต่างๆ ได้
ฟังก์ชันการอัปโหลดไฟล์ที่ทำงานจาก command server ซึ่งเชื่อมต่อกับ API ชื่อ us.temu.com หมายความว่าเมื่อผู้ใช้มอบสิทธิ์จัดเก็บไฟล์แก่แอป Temu แล้ว แอปจะสามารถรวบรวมไฟล์ทั้งหมดจากอุปกรณ์ของผู้ใช้จากระยะไกลและส่งไปยังเซิร์ฟเวอร์ Temu ได้
ตรวจจับการแก้จุดบกพร่อง (debugging) ได้ด้วย Debug.isDebuggerConnected()
อ่าน system log ตรวจกิจกรรมบนอุปกรณ์ได้ผ่าน getRunningAppProcesses()
ขอ MAC address (ชุดเลขที่เป็นตัวระบุตัวตนอุปกรณ์และถูกฝังมากับอุปกรณ์ตั้งแต่แรก) และข้อมูลอุปกรณ์อื่นๆ และแทรกข้อมูลดังกล่าวลงใน JSON ก่อนถูกส่งไปยังเซิร์ฟเวอร์
เรียก getWindow().getDecorView().getRootView() เพื่อ screenshot และจัดเก็บผลลัพธไว้ในไฟล์ได้
เข้าถึงการบันทึกเสียงผ่าน RECORD_AUDIO
#มิตรฯ