L’Istituto Nazionale di Test per la Cibersicurezza della Svizzera ha pubblicato un’analisi tecnica sull’applicazione mobile di Temu, una piattaforma di e-commerce cinese sempre più popolare nel paese elvetico. L’indagine avrebbe rilevato alcune anomalie tecniche che, pur non rappresentando dei rischi rilevanti per la sicurezza, suggerirebbero la necessità di un uso più cauto dell’app.
Le anomalie tecniche di Temu
L’analisi dell’NTC avrebbe identificato due principali “red flags” nell’app Temu:
- caricamento dinamico di codice: l’app sarebbe in grado di modificare autonomamente il proprio comportamento attraverso l’esecuzione di codice in un ambiente di runtime proprietario. Ciò permetterebbe agli sviluppatori di aggiornare funzionalità e contenuti senza passare per l’App Store, quindi senza che l’utente debba autorizzare tali modifiche.
- Livelli aggiuntivi di crittografia: l’uso della crittografia potrebbe essere utilizzato anche per mascherare la trasmissione di dati inattesi.
Nonostante le anomalie riscontrate l’NTC non avrebbe individuato rischi di sicurezza elevati né evidenze di attività di sorveglianza non autorizzate. Le autorizzazioni richieste e il comportamento dell’app sarebbero quindi in linea con gli standard delle applicazioni di e-commerce. Inoltre, rispetto ad altre app simili Temu richiederebbe un numero inferiore di autorizzazioni potenzialmente problematiche.
Le raccomandazioni sull’uso dell’App
Pur non avendo rilevato delle prove concrete di attività dannose, l’NTC consiglia agli utenti di adottare alcune precauzioni nell’uso della piattaforma:
- limitare le autorizzazioni: concedere solo le autorizzazioni strettamente necessarie per il suo funzionamento.
- aggiornamenti regolari: mantenere il sistema operativo del dispositivo costantemente aggiornato con le ultime patch di sicurezza.
- Utilizzo alternativo: accedere a Temu tramite un browser Web mobile anziché con l’app dedicata per ridurre la superficie di attacco.
Essendo gestita dalla cinese PDD Holdings Inc. Temu è soggetta alla legislazione cinese in materia di protezione dei dati che però è considerata inadeguata secondo gli standard europei. L’NTC sottolinea che l’indagine è stata condotta in modo indipendente, senza influenze esterne, focalizzandosi esclusivamente su aspetti di cybersecurity e non su questioni come pratiche commerciali o qualità dei prodotti.