Quali sono i problemi di sicurezza che sono stati contestati all’app di Temu

Problemi, problemi, problemi. Citiamo una nota telecronaca di Sky Sport sui gran premi di Formula 1 per introdurre una questione che – in primavera – è arrivata fino alla U.S. Cybersecurity and Infrastructure Security Agency. Nel monografico di oggi abbiamo parlato di Temu e della sua casa madre, Pinduoduo. Quest’ultima presenta diverse versioni dell’app, per diversi mercati. Una di queste versioni è stata bloccata dal Google Play Store in seguito alla segnalazione dell’agenzia nazionale per la cybersicurezza degli Stati Uniti che aveva individuato in alcuni sistemi di funzionamento della piattaforma lo sfruttamento delle vulnerabilità – poi successivamente sanate – del sistema operativo Android. Grazie a queste vulnerabilità, attraverso uno zero-day, l’app raccoglieva molte più informazioni del dovuto sugli utenti, ufficialmente non per scopi diversi rispetto a quelli commerciali: insomma, l’obiettivo di questo escamotage di sviluppo sarebbe stato quello di incamerare più dati possibili per targettizzare meglio l’utente. Non una cosa secondaria per una applicazione che si occupa di commercio e di vendita diretta.

LEGGI ANCHE > Le guerre legali che Temu e Shein stanno combattendo negli Stati Uniti (fra di loro)

Malware Temu causa la sospensione dal Google Play Store

La questione è stata risolta: oltre all’estromissione dal Google Play Store, Android ha poi risolto la vulnerabilità che ha rappresentato la porta d’ingresso per il malware. Ma non si è trattato di un semplice incidente tra aziende private, la CISA ha evidenziato come tutto ciò abbia potuto rappresentare un problema per l’interesse nazionale: «Questi tipi di vulnerabilità – hanno affermato all’epoca dei fatti – sono frequenti vettori di attacco per attori informatici malintenzionati e pongono rischi significativi per l’impresa federale». Considerando anche l’attuale quadro geopolitico che investe anche le piattaforme digitali che hanno trovato la loro genesi in Cina (si veda ciò che sta accadendo, a livello di funzionari politici di alto livello, persino con TikTok), si capisce bene come si sia diffuso una sorta di pregiudizio nei confronti di Temu, anche per le versioni “occidentalizzate” dell’applicazione.

Ma il malware di Temu non è stato l’unico problema di sicurezza che si è dovuto affrontare. Ben 50 milioni di persone hanno scaricato l’app di Temu dal Google Play Store (anche in seguito all’incidente che abbiamo sin qui descritto) e anche nell’Apple Store l’applicazione risulta essere tra quelle di maggiore successo. Nonostante questo, prima di finire nella prestigiosa vetrina digitale di Cupertino, gli sviluppatori hanno dovuto risolvere dei problemi relativi alla quantità e alla tipologia di dati personali a cui l’app di Temu avevano accesso. Non è stato semplice individuare le criticità di Temu, dal momento che il codice di sviluppo dell’applicazione ha saputo evidentemente mascherare dei tracker che potevano risultare molto invasivi per quanto riguarda il tracciamento dei dati personali degli utenti che l’hanno scaricata.

Temu raccoglie automaticamente informazioni come la posizione degli utenti e monitora la loro attività online tramite i cookies. Nelle sue policies inoltre, si dice che combina le informazioni personali degli utenti con informazioni provenienti da fonti pubbliche tra cui agenzie governative, piattaforme di social media, fornitori di dati, partner di marketing. Inoltre, questi dati possono essere condivisi con la casa madre dell’applicazione e con le altre società affiliate.

Nulla che anche altre piattaforme (anche occidentali) non facciano. Ma i precedenti primaverili di Pinduoduo e di alcune sue versioni hanno comunque causato ulteriori approfondimenti e accertamenti da parte di Apple e di Google. Fino a questo momento – e stiamo parlando di un periodo in cui l’app è stata già utilizzata in Europa, storicamente molto più severa degli Stati Uniti su questioni di privacy – nessun problema: ma occorrerà ancora qualche tempo per capire se alcune autorità garanti dei dati personali (nei vari Paesi UE) solleveranno obiezioni sul servizio.