Secondo lo studio dei ricercatori di sicurezza informatica svizzeri di Ntc, sono emerse nell’app Temu anomalie tali da mettere in dubbio l’eCommerce sicuro da parte dell’azienda cinese PDD Holdings.
“Il rapporto evidenzia due aspetti preoccupanti, ma bisogna fare una doverosa premessa”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco i punti salienti da non sottovalutare.
Indice degli argomenti
App Temu ed eCommerce sicuro: l’allarme dei ricercatori
NTC ha condotto un’analisi indipendente per fare luce sulla cyber sicurezza dell’applicazione di eCommerce cinese.
“Partiamo innanzitutto dall’assunto che il rapporto di NTC sottolinea l’assenza di prove concrete di un pericolo specifico per gli utenti e che Temu sembra conforme agli standard di sicurezza delle app eCommerce”, mette le mani avanti Paganini: “Addirittura, l’app richiede meno permessi rispetto a molti altri concorrenti del settore. Fatta però questa doverosa premessa, due aspetti evidenziati dal rapporto preoccupano: la capacità di caricamento dinamico di codice e la crittografia aggiuntiva implementata dall’applicazione”.
Infatti, l’app, che è la più gettonata nella Gen Z in Usa e, secondo Agcom, vanta più di 12 milioni di utenti unici mensili in Italia e si appresta al sorpasso su Subito.it per piazzarsi come quarto eCommerce per utenti attivi nel nostro Paese, ha mostrato ben due bandiere rosse.
La prima red flag consiste nel caricamento dinamico di codice nel contesto di runtime proprietario. Ciò permette agli sviluppatori di effettuare modifiche al comportamento dell’app in autonomia, adottando funzionalità senza update via Google Play Store o Apple App Store.
“In particolare, la possibilità di caricamento dinamico di codice potrebbe consentire ad un attaccante di modificare a piacimento il comportamento dell’applicazioni introducendo funzionalità malevole che potrebbero portare addirittura alla compromissione dei dispositivi o al tracciamento degli utenti“, avverte Paganini.
A ipotecare la sicurezza dell’app cinese la presenza di layer ulteriori di crittografia. I livelli aggiuntivi, secondo lo studio, può costituire una protezione extra per i dati degli utenti. Tuttavia, al contempo, potrebbe perfino celare la trasmissione di dati verso lo smartphone o in direzione di server esterni.
“Si tratta di scenari ipotetici – avverte Paganini -, ma da tenere in debita considerazione quando un ente certifica la possibilità di caricamento di codice dinamico”.
Come proteggersi
Deve essere chiaro che il rapporto Ntc sottolinea la capacità di caricamento dinamico del codice. Ancora mancano le prove concrete. Ma se venisse confermato quanto riporta l’indagine, l’app andrebbe disinstallata.
“Per questa ragione sconsiglierei l’utilizzo di tutte le app che presentano comportamenti simili da contesti critici“, conclude Paganini: “Eviterei che persone potenziali obiettivi (per esempio, politici, manager di primarie aziende nazionali) usino queste applicazioni sui propri telefoni”.
Per le due red flag o anomalie segnalate da Ntc si consiglia un comportamento decisamente prudente: fare eCommerce via browser e non via app; impostare comunque sull’app solo le autorizzazioni necessarie; mantenere aggiornato il sistema operativo.
