市場調査企業のGrizzly Researchが、中国の通販サービス・Temuの提供する公式アプリがユーザーの知らないうちにスマートフォンのデータにフルアクセスして大量の情報を引き出すスパイウェアであるとして、警鐘を鳴らしました。しかし、このGrizzly Researchの主張に対して「アプリがスパイウェアというのは言い過ぎだ」という批判が集まっています。

We believe PDD is a Dying Fraudulent Company and its Shopping App TEMU is Cleverly Hidden Spyware that Poses an Urgent Security Threat to U.S. National Interests - Grizzly Research LLC

https://grizzlyreports.com/we-believe-pdd-is-a-dying-fraudulent-company-and-its-shopping-app-temu-is-cleverly-hidden-spyware-that-poses-an-urgent-security-threat-to-u-s-national-interests/



Temuは中国のEコマース企業である拼多多が展開するオンラインマーケットプレイスで、さまざまな商品が低価格で販売されています。しかし、拼多多の公式アプリは過去にAndroidの脆弱(ぜいじゃく)性を悪用してユーザーを監視する機能が搭載されていたとして、Googleからマルウェアとしてフラグ付けされた上で配信を停止されたことがあります。

大手通販アプリにユーザーを監視するマルウェアが仕込まれていた疑いでGoogleがアプリの配信を停止 - GIGAZINE

アメリカのニュースメディア・CNNの報道によると、Temuの公式アプリを開発したチームには、拼多多公式アプリを開発したエンジニアが参加しているとのこと。Grizzly Reseachは、データセキュリティの専門家と協力してTemu公式アプリのコードを逆コンパイルして分析した結果、Temu公式アプリには「Googleでの配信停止を受けて拼多多公式アプリから削除された部分」がまったくそのまま利用されていたことが判明したと報告しています。

アプリのソースコードにはCAMERA・RECORD_AUDIO・WRITE_EXTERNAL_STORAGE・INSTALL_PACKAGES・ACCESS_FINE_LOCATIONの権限を求めるエントリがあったものの、このエントリはAndroidアプリに関する重要な情報を記述するマニフェストファイルに記載されていなかったとのこと。Grizzly Researchは「アプリにはユーザーが知らない内に大規模なデータを引き出せる機能がこっそり搭載されており、悪意のある者がユーザーのモバイル端末のほぼすべてのデータに完全にアクセスできるようになる可能性があります」と述べています。

Grizzly Reseachは他にも、Temuのサーバーの情報をもとにアプリがローカルでプログラムをコンパイルしたり、位置情報をこっそり取得したり、スクリーンショットを作成して保存したり、アプリの実行中にカメラやマイクにアクセスしたり、アプリのコードやその挙動を難読化したりなど、通信販売サービスのアプリとしてはあまりにも不審な点が多いと指摘しています。

Grizzly Reseachは、「私たちは、Temuがすでに失敗しつつあるビジネスモデルを維持するため、西側諸国の顧客から盗んだデータを違法に販売しようとしている、あるいはすでに販売しているのではないかと強く疑っています」と述べています。アメリカのテクノロジー系メディア・Wiredによると、Temuは1注文ごとに30ドル(約4200円)の損失を被っていると推定され、さらに広告費や配送コストを含めるとビジネスモデルの維持は到底不可能であるとしか考えられないとのこと。そのため、アプリを通じて入手した個人情報を販売することで事業による損失を補てんしているのではないかというのがGrizzly Reseachの主張です。

しかし、ソーシャルニュースサイトのHacker Newsでは、「Temuの公式アプリは最も危険なアプリです」というGrizzly Researchの主張に対して懐疑的な意見が多く投稿されています。

TEMU Is Cleverly Hidden Spyware That Poses an Urgent Security Threat to U.S. | Hacker News

https://news.ycombinator.com/item?id=37427008



duskwuff氏はGrizzly Reseachが挙げている根拠について間違っていたり大げさだったりする部分があると具体的に指摘しながら記事内容の信ぴょう性を疑問視した上で、「アプリが明らかに危険というわけではありません」と述べています。klik99氏は、Temuが1注文ごとに30ドルの損失を被っていることについて、「これは文字通り、過去15年間のスタートアップがそうであったように、新規参入時にはユーザーを獲得するために積極的に赤字を出し、競合サービスを打ち負かした後にお金を稼ぎ始めます。ただし、外部からの資金調達が見当たらないので拼多多の資金を投入しているか、こっそり予算を調達してやっているのでしょう」と述べ、個人情報の転売で利益を上げているというGrizzly Reseachの主張には否定的な見方を示しています。

さらにHacker Newsには、Grizzly Reseachが市場調査企業であることから、株を空売りする目的で市場を操作するための記事ではないかと疑うコメントも投稿されていました。daft_pink氏は「Temuがアメリカでの足がかりを得るために資金を失っているのは明らかです。そのことに異論を唱える人はいないと思いますし、拼多多は明らかに中国企業であり、中国の大企業はすべて政府とつながりがあります。それでもスパイウェアだという主張は大げさすぎます」と述べました。