拼多多(ピンドゥオドゥオ)は中国ネット通販大手アプリです。
2022年12月期の最終利益が315億元(約6000億円)だったと発表し、前年同期比4.1倍に利益を伸ばしている中華アプリです。米国市場に進出するなど海外展開を進めており、日本でもユーザーを獲得している様です。
人気の秘訣は拼多多(ピンドゥオドゥオ)のビジネスモデルである共同購買にあります。
誰かを誘いあい一定数以上の個数で商品を注文すると、かなり割安な価格で商品を購入することができます。
ユーザーは安く買う為に、知り合いを日用品などを一緒にここで買おうと誘います。アプリに登録したユーザーを営業マンにしてしまおうというビジネスモデルを取っています。
この為か、拼多多の年間アクティブユーザー数は2020年3月31日までに6億2,800万人に達し、前年より1億8,500万という最高の伸びを記録したと言われています。
エグイぐらいの伸び方で、あのSheinの日用雑貨バージョンアプリの様な勢いです。
ところが、サイバーセキュリティ研究者が拼多多アプリがユーザーのスマホのセキュリティを突破して、他のアプリでの活動を監視したり、通知をチェックしたり、プライベートメッセージを読んだり、設定を変更したりしている事を発見しCNNが報道する事態となりました。
「こんなの見たことない」
拼多多にユーザーをスパイする機能があると専門家が語っており、一度インストールされると、削除するのは困難との事。
CNNは詳細な調査のため、アジア、ヨーロッパ、米国の6つのサイバーセキュリティチーム、および複数の元・現拼多多の従業員に話を聞きました。
複数の専門家が、Android OSの脆弱性を突くマルウェアが拼多多アプリ上に存在することを確認。会社関係者によると、この脆弱性はユーザーや競合他社をスパイするために利用され、売上を伸ばすために利用されたと言われています。
フィンランドのサイバーセキュリティ企業WithSecureの最高研究責任者Mikko Hyppönen氏は「このような主流アプリが、本来アクセスできない筈の場所にアクセスする為にアクセスしようとしているのは見たことがない」と述べています。
今回のCNNによる調査結果は、3月にGoogleが拼多多のアプリにマルウェアが確認されたとして、Playストアから拼多多アプリを停止した事を受けてのものでした。
拼多多は以前、「拼多多アプリが悪意を持ってユーザーのスマホをスパイした訳ではない」と否定しています。
なので、CNNが拼多多にメールと電話で複数回コメントを求めた所、返事は無かったようです。
専門家が拼多多アプリで見つけたもの
CNNはテルアビブに拠点を置くサイバー企業Check Point Research、デラウェア州に拠点を置くアプリセキュリティのOversecured、WithSecureの研究者に依頼し、2月末に中国のアプリストアでリリースされた同アプリの6.49.0バージョンについて独自の分析を実施。
研究者は拼多多アプリに「特権の昇格」(脆弱なオペレーティングシステムを悪用して、本来持っているはずのデータよりも高いレベルのアクセスを得るサイバー攻撃の一種)を達成するために設計されたコードを発見しました。
WithSecureの最高研究責任者Hyppönenは「私たちのチームはそのコードをリバースエンジニアリングし、権限の昇格を試み、Androidスマホで通常のアプリがアクセスできない場所に拼多多アプリがアクセスしようとする事を確認する事が出来ました」と指摘。
※Hyppönenは2010年度マルウェア対策業界の最優秀教育者として表彰されている方。
このアプリはバックグラウンドで動作し続け、アンインストールされるのを防ぐ事が出来た為、月間アクティブユーザー率を高めることができたとHyppönenは述べています。また、他のショッピング・アプリのアクティビティを追跡して情報を取得することで、競合他社をスパイする能力もあったと付け加えています。
調査によって、このアプリが監視の目を逃れる方法が特定されました。
拼多多アプリは、悪意のあるアプリケーションを検出する為のアプリストアの審査プロセスを経ずに、アップデートを通知できる方法を採用していたと、研究者は発見し指摘。
また一部のプラグインでは、悪意のあるコンポーネントをGoogleのような正規のファイル名で隠す事で、発見されないようにしてことも確認されました。
「このような手法は、正規の機能を持つアプリケーションに悪意のあるコードを注入するマルウェア開発者によって広く使用されている」と研究者は述べています。
狙われるアンドロイド
中国ではスマホユーザーの約4分の3がアンドロイドを使用しています。Wedbush SecuritiesのDaniel Ives氏によると、Apple(AAPL)のiPhoneの市場シェアは25%だそうです。
Oversecuredの創設者であるSergey Toshin氏は、拼多多アプリに仕込まれているマルウェアは特に、Samsung、Huawei、Xiaomi、Oppoが使用しているものを含む、特定のAndroidベースのオペレーティングシステムをターゲットにしていると述べています。
Toshin氏は拼多多アプリを主流アプリの中で発見された「最も危険なマルウェア」と評価しています。
「このようなものは、これまで一度も見たことがありません。スパイアプリが超拡大している」
こんな危険な物がメディアによって普通に日本で紹介されています。信じられますか?紹介している癖に、CNNが報道した様な拼多多アプリの危険性についてあまり報道しません。
問題があると思います。