Temu mette a rischio la sicurezza dello smartphone? Aspetti critici e come mitigarli
HomeNews, attualità e analisi Cyber sicurezza e privacy
Indirizzo copiato
Il rapporto dei ricercatori di sicurezza informatica svizzeri di Ntc accende un faro su due aspetti preoccupanti dell’app Temu dell’azienda cinese PDD Holdings: la capacità di caricamento dinamico di codice e la crittografia aggiuntiva implementata dall’applicazione. Come mitigare il rischio
Pubblicato il 13 dic 2024
Giornalista
Secondo lo studio dei ricercatori di sicurezza informatica svizzeri di Ntc, sono emerse nell’app Temu anomalie tali da mettere in dubbio l’eCommerce sicuro da parte dell’azienda cinese PDD Holdings.
“Il rapporto evidenzia due aspetti preoccupanti, ma bisogna fare una doverosa premessa”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco i punti salienti da non sottovalutare.
Indice degli argomenti
App Temu ed eCommerce sicuro: l’allarme dei ricercatori
NTC ha condotto un’analisi indipendente per fare luce sulla cyber sicurezza dell’applicazione di eCommerce cinese.
white paper
Il 5G rivoluzionerà il tuo business entro il 2025: scopri gli use case di successo!
Banda Larga
Mobile Device Management
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei miei dati a terzi affinché li trattino per proprie finalità di marketing tramite modalità automatizzate e tradizionali di contatto.
Fine modulo
“Partiamo innanzitutto dall’assunto che il rapporto di NTC sottolinea l’assenza di prove concrete di un pericolo specifico per gli utenti e che Temu sembra conforme agli standard di sicurezza delle app eCommerce”, mette le mani avanti Paganini: “Addirittura, l’app richiede meno permessi rispetto a molti altri concorrenti del settore. Fatta però questa doverosa premessa, due aspetti evidenziati dal rapporto preoccupano: la capacità di caricamento dinamico di codice e la crittografia aggiuntiva implementata dall’applicazione”.
Infatti, l’app, che è la più gettonata nella Gen Z in Usa e, secondo Agcom, vanta più di 12 milioni di utenti unici mensili in Italia e si appresta al sorpasso su Subito.it per piazzarsi come quarto eCommerce per utenti attivi nel nostro Paese, ha mostrato ben due bandiere rosse.
La prima red flag consiste nel caricamento dinamico di codice nel contesto di runtime proprietario. Ciò permette agli sviluppatori di effettuare modifiche al comportamento dell’app in autonomia, adottando funzionalità senza update via Google Play Store o Apple App Store.
“In particolare, la possibilità di caricamento dinamico di codice potrebbe consentire ad un attaccante di modificare a piacimento il comportamento dell’applicazioni introducendo funzionalità malevole che potrebbero portare addirittura alla compromissione dei dispositivi o al tracciamento degli utenti“, avverte Paganini.
A ipotecare la sicurezza dell’app cinese la presenza di layer ulteriori di crittografia. I livelli aggiuntivi, secondo lo studio, può costituire una protezione extra per i dati degli utenti. Tuttavia, al contempo, potrebbe perfino celare la trasmissione di dati verso lo smartphone o in direzione di server esterni.
“Si tratta di scenari ipotetici – avverte Paganini -, ma da tenere in debita considerazione quando un ente certifica la possibilità di caricamento di codice dinamico”.
Come proteggersi
Deve essere chiaro che il rapporto Ntc sottolinea la capacità di caricamento dinamico del codice. Ancora mancano le prove concrete. Ma se venisse confermato quanto riporta l’indagine, l’app andrebbe disinstallata.
“Per questa ragione sconsiglierei l’utilizzo di tutte le app che presentano comportamenti simili da contesti critici“, conclude Paganini: “Eviterei che persone potenziali obiettivi (per esempio, politici, manager di primarie aziende nazionali) usino queste applicazioni sui propri telefoni”.
Per le due red flag o anomalie segnalate da Ntc si consiglia un comportamento decisamente prudente: fare eCommerce via browser e non via app; impostare comunque sull’app solo le autorizzazioni necessarie; mantenere aggiornato il sistema operativo.
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo
Mirella Castigli
Giornalista