Perché non dovresti usare Temu dallo smartphone: il motivo è molto molto serio (AGGIORNAMENTO)

donna shopping online
Perché non dovresti usare Temu dallo smartphone: il motivo è molto molto serio - player.it

Temu è una delle piattaforme di shopping online più utilizzate. Secondo una analisi di un team di esperti, però, ci sono almeno due potenziali punti deboli nell’esperienza da smartphone.

Il fatto che Temu sia entrata nella routine dello shopping di milioni di persone in tutto il mondo non lo si vede tanto dai numeri, che sono comunque vertiginosi, delle persone che ogni giorno comprano sulla piattaforma arancione ma dal fatto che Amazon ha deciso di inaugurare una sezione del suo enorme e-commerce che sembra proprio ricalcare le dinamiche di Temu.

donna shopping online
Perché non dovresti usare Temu dallo smartphone: il motivo è molto molto serio – player.it

La quantità di oggetti che si comprano ogni giorno sul colosso arancione è ovviamente un segnale di quanti utenti ci sono. E moltissimi fanno shopping attraverso lo smartphone. Ma questo dettaglio potrebbe esporre a potenziali rischi.

Perché usare Temu dallo smartphone potrebbe essere pericoloso

Volendo fare una battuta di spirito uno dei motivi per cui forse non dovresti utilizzare l’app di Temu allo smartphone è che lo shopping è talmente tanto facile e lineare che rischi di prosciugare il conto corrente senza neanche accorgertene. Di per sé, e anche il gruppo di esperti di NTC lo ha ribadito nel suo report, l’app è né più né meno sicura come qualunque altra piattaforma online di shopping.

temu
Perché usare Temu dallo smartphone potrebbe essere pericoloso – player.it

Anzi, sempre nel report si sottolinea come richieda addirittura meno permessi per poter lavorare. Ma ci sono due caratteristiche che, se sfruttate da criminali organizzati, possono potenzialmente trasformare l’app di Temu in un pericolo per i tuoi dati sensibili. Non c’è stato nessun problema reale ma è sempre bene sapere prima che cosa potrebbe andare storto.

I due potenziali ingressi da cui potrebbero arrivare attacchi da parte di utenti malevoli sono il caricamento dinamico di codice e la crittografia aggiuntiva. Il caricamento dinamico di codice è in pratica un modo in cui i programmatori dell’app riescono a modificare il codice dell’app stessa senza che ci sia bisogno di passare ogni volta per gli aggiornamenti da rilasciare attraverso Google Play Store oppure App Store.

Questo, che sull’app per esempio permette di avere le offerte periodiche sempre a vista, potrebbe essere un modo con cui anche soggetti malevoli potrebbero insinuarsi e rilasciare il proprio codice. Se non c’è infatti il controllo da parte di Google o di Apple di quello che passa sui loro store c’è uno strato più sottile di sicurezza.

Vale di nuovo la pena ricordare che non c’è stato nessun incidente e che nessuno ha ancora tentato di sfruttare questa caratteristica dell’app per scopi malefici ma è bene sapere come funziona quello che c’è sullo smartphone. Il secondo aspetto delicato è la crittografia. L’app di Temu, per proteggere i dati dei propri utenti, aggiunge livelli superiori di crittografia.

Questa crittografia aggiuntiva, però, potrebbe permettere il collegamento di un device con server che sono diversi da quelli dell’e-commerce. Allo stesso tempo la crittografia potrebbe anche essere utilizzata per rilasciare sui device codice malevolo.

La soluzione drastica presentata dal rapporto NTC è quella di disinstallare l’app e fare shopping utilizzando il sito web da browser. In particolare non dovrebbe essere installata questa né nessuna app con le stesse caratteristiche su device di persone che operano in alcuni specifici contesti dedicati.

Aggiornamento da parte di Temu

Nella giornata del 20/12/2024 abbiamo ricevuto ulteriori informazioni dall’l’ufficio PR esterno di Temu in Europa che va a chiarificare la situazione evidenziando diversi punti del rapporto NTC:

  • Il team di NTC ha dedicato 60 giornate/uomo all’analisi dell’app, concludendo che non esistono rischi di sicurezza critici né prove di sorveglianza non autorizzata nell’app Temu.
  • NTC ha spiegato i possibili fattori motivanti dietro i “campanelli d’allarme” evidenziati nel rapporto e ha concluso che:
    • Il caricamento dinamico del codice “offre agli sviluppatori la flessibilità di personalizzare funzionalità e contenuti senza dover aggiornare il pacchetto dell’app originale” ed “è una pratica non particolarmente insolita – altre app fanno lo stesso”;
    • L’uso di crittografia aggiuntiva “può essere legittimo e contribuire a migliorare la protezione dei dati degli utenti contro accessi non autorizzati”;
    • NTC ha sottolineato nel comunicato stampa che le autorizzazioni e il comportamento dell’app Temu sono in linea con gli standard delle applicazioni di e-commerce;
    • NTC ha osservato che, rispetto ad app simili come Amazon e Aliexpress, Temu richiede autorizzazioni meno numerose e meno problematiche.

Inoltre, come si legge nella politica sulla privacy di Temu:

  • I dati degli utenti Temu situati nell’Unione Europea (UE), nello Spazio Economico Europeo (SEE), nel Regno Unito (UK) e in Svizzera sono archiviati per impostazione predefinita nell’infrastruttura dei fornitori di servizi cloud all’interno del SEE.
  • Temu è una destinazione globale per lo shopping e, ove necessario, può trasferire i dati relativi all’evasione degli ordini a fornitori di servizi in altri Paesi per fornire servizi di evasione e logistica. Le informazioni personali (come i dati dell’account e del profilo) non correlate ai servizi di evasione non saranno trasferite. In tutti i casi, ci assicuriamo che i trasferimenti di dati personali siano conformi ai requisiti legali applicabili.

Infine Temu è membro del Anti-Phishing Working Group, dedicato alla lotta contro le frodi online e la criminalità informatica. L’azienda dà priorità alla sicurezza delle informazioni attraverso standard rigorosi e una collaborazione proattiva:

  • Certificazione di cybersicurezza: L’app Temu è stata validata da DEKRA, un importante istituto di test indipendente in Germania, certificando la conformità allo standard di sicurezza delle applicazioni mobili (MASA).
  • Programma Bug Bounty: Temu collabora con HackerOne, una piattaforma di cybersicurezza con sede a San Francisco, per invitare i ricercatori di sicurezza a identificare e correggere eventuali vulnerabilità.
  • Sicurezza dei pagamenti: Collaboriamo con aziende di carte di credito di fiducia a livello globale, come Visa e Mastercard, e il nostro sistema di pagamento segue lo standard di sicurezza del settore (Payment Card Industry Data Security Standard). Temu implementa inoltre protocolli di sicurezza come TrustedSite Certified Secure, JCB’s J/Secure, Visa 3D Secure, MasterCard ID Check, American Express SafeKey e Discover/Diners ProtectBuy per garantire la sicurezza dei pagamenti.