Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) prověřuje čínský internetový obchod Temu a jeho mobilní aplikaci. Temu ve velkém začali používat čeští zákazníci, kteří tak kopírují trend ze zahraničí. Objevují se přitom obavy, že čínská služba sbírá značné množství citlivých osobních informací a může představovat riziko. Podobně jako rovněž čínské aplikace TikTok a WeChat, proti kterým NÚKIB v minulosti vydal bezpečnostní varování.
„E-shopů a na ně navázaných aplikací, jako je například Temu, je na trhu více. Problematice se snažíme věnovat průběžně a komplexně. V tuto chvíli interně pracujeme na souhrnnější analýze, jejíž závěry ale nechceme předjímat,“ sdělila Lupě mluvčí kyberúřadu Eva Rajlichová.
Z podobných služeb lze vedle Temu zmínit Shein, což je další e-shop s levným zbožím původem z Číny. I ten získává u českých zákazníků oblibu. Temu je ale zatím více viditelný. Vykupuje například reklamní pozice u Googlu a působí problémy tuzemské konkurenci.
Jde o tradiční „nálet“ čínské konkurence na zahraniční trhy. Ta k němu využívá jak zajímavé inovace, ve kterých je Čína oproti Západu často výrazně napřed, tak úspory z rozsahu, ale i pro Západ sporné metody. Shein byl například obviněn z využívání otrocké práce v koncentračních táborech s Ujgury.
„Narazit lze na investigaci Bloombergu, kde analýzou bavlny v oblečení Sheinu zjistili, že tato bavlna pochází z Xinjiangu (oblast s Ujgury),“ shrnuje Kara Němečková z Asociace pro mezinárodní otázky. Další analýzy lze najít třeba zde a zde.
Chytře skrytý malware
Velké jsou obavy technického rázu. Společnost Grizzly Research analyzovala aplikaci Temu, kterou následně označila za chytře skrytý spyware představující bezpečnostní hrozbu. Grizzly dokonce uvádí, že Temu je nejnebezpečnější malware/spyware, který je v současné době v širším oběhu.
Temu má podle analýzy zdrojových kódů skryté funkce umožňující sbírání informací s tím, že uživatelé o něčem takovém nevědí. To má druhé straně poskytovat potenciální plný přístup ke všem datům na mobilních zařízeních zákazníků. „Je jasné, že bylo vynaloženo velké úsilí, aby škodlivé záměry zůstaly skryty,“ varuje Grizzly. Temu má možnost používat kameru, nahrávat zvuk nebo instalovat softwarové balíčky.
Grizzly dále vyjadřuje podezření, že Temu prodává, nebo se chystá prodávat, ukradená data západních zákazníků, aby bylo možné udržet financování firmy. Temu podle odhadů ztrácí 30 dolarů na každé objednávce a má obří náklady na reklamu a dopravu.
Temu spadá pod čínskou skupinu PDD Holdings, jejíž největší součástí je obří e-commerce služba Pinduoduo. Google v roce 2023 stáhl Pinduoduo z Play Store, protože aplikace obsahovala malware. Pinduoduo rozpustilo tým vývojářů, kteří za malwarem stáli, a většina z nich byla přesunuta do Temu.
Aktualizováno: Temu se proti nařčením Grizzly Research a dalších ohradila. A čínské e-shopy na čínskou konkurenci daly podnět k České obchodní inspekci.
Uvidíme
Zda NÚKIB přistoupí k varování jako v případě TikToku a WeChatu, není momentálně jasné. „To, co v tuto chvíli za NÚKIB určitě platí, je předchozí doporučení všem uživatelům, aby byli vždy maximálně obezřetní při práci se všemi aplikacemi. Stahování by mělo probíhat pouze z ověřených zdrojů a uživatelé by se měli aktivně zajímat, jaká oprávnění těmto aplikacím dávají na svých zařízeních,“ vzkazuje úřad.
Například společnost ByteDance, která vyvíjí TikTok, se snaží svou reputaci v Evropě vylepšit. Na udržení zdejšího byznysu chce dát stovky miliard. V rámci projektu Clover staví lokální datová centra a nezávislá britská společnost má dohlížet na nakládání s nimi. NÚKIB uvedl, že i přesto zřejmě jeho obavy uvedené v dřívějším varování přetrvají.
Otázkou je, zda běžní uživatelé na podobná varování slyší. TikTok sice od varování mizí ze zařízení úřadů a podobně, celkový počet českých uživatelů ale roste. Stává se i to, že některé instituce sice aplikaci na telefonech zaměstnanců zakazují, ale samy na této sociální síti mají profil – protože na ní jsou lidé. V případě e-shopů to může být obdobné: nízké ceny vysoce motivují uživatele k používání čínských aplikací nehledě na možné riziko.
Velké množství informací o uživatelích sbírají také západní služby typu Facebook, Instagram, Google nebo LinkedIn. Z pohledu NÚKIBu a dalších bezpečnostních složek nicméně tato data nemíří na zpracování „někam do Číny“, tedy k našemu systémovému rivalovi. Byť samozřejmě kolem toho, co s daty Evropanů dělají američtí internetoví giganti, se také vede mnoho debat, což vyústilo i v řadu zákonů typu GDPR.