Secondo una ricerca pubblicata a settembre dalla società di sicurezza informatica Grizzly Research, la popolarissima app di shopping cinese Temu sarebbe un malware e spyware estremamente pericoloso. Tutte le app per fare acquisti sono piuttosto invadenti, ma Temu è tutta un'altra storia, stando alle analisi tecniche.

Per esempio, notano i ricercatori, Temu chiede per impostazione predefinita la localizzazione precisa dell'utente in quel momento, cosa che non ha senso se l'utente vuole semplicemente acquistare un prodotto e ha già dato il proprio indirizzo per la spedizione. Se l'app rimane attiva, i gestori di Temu possono tracciare l'utente per tutto il tempo.

Temu, secondo questa ricerca, ha anche un altro comportamento molto pericoloso: la cosiddetta compilazione dinamica. L'app può scaricare da Internet del codice software aggiuntivo e compilarlo, cioè renderlo eseguibile sul dispositivo dell'utente. Questo vuol dire che l'app può superare tranquillamente i controlli di sicurezza di Google Play, per esempio, perché non contiene codice pericoloso, ma una volta installata può scaricare altro codice ed eseguirlo, eludendo completamente le verifiche di sicurezza.

La lista delle caratteristiche pericolose di Temu è molto lunga, secondo questa ricerca, e va detto che i toni di Grizzly Research sono un po' sensazionalisti e che gli esperti esterni citati da questa ricerca non vengono nominati, ma la sostanza delle asserzioni sembra robusta e ben documentata, anche con il supporto di una società di sicurezza informatica svizzera. E una delle caratteristiche sospette di Temu è stata confermata indipendentemente: è la cosiddetta obfuscation, una tecnica nella quale il software dell'app è scritto in modo intenzionalmente poco chiaro, usando metodi che rendono estremamente difficile capire cosa stia facendo realmente.

Però l'app è ancora disponibile sul Play Store di Google per i dispositivi Android e nell'App Store di Apple, sia pure con una dettagliata elencazione dei dati personali che raccoglie e che sono davvero tanti.

Allo stesso tempo, la piattaforma di commercio elettronico Pinduoduo, legata a Temu, è stata sospesa da Google perché conteneva malware, e pochi giorni fa nel Regno Unito alcune pubblicità su Temu sono state bandite perché mostravano una bambina in bikini "in posa molto adulta", come dice molto signorilmente la Advertising Standards Authority britannica, e presentavano altre immagini che, sempre secondo l'autorità britannica, "oggettificavano le donne". Temu ha rimosso l'immagine della bambina, ammettendo che violava le sue regole, ma si è opposta alle altre contestazioni.

Inoltre Apple ha dichiarato che in passato Temu ha violato le regole di privacy, ingannando gli utenti sul modo in cui usa i loro dati, ma la questione è stata poi risolta.

I sospetti sulla sicurezza e la privacy di Temu, insomma, non mancano, per cui è sconsigliabile perlomeno installarla su smartphone usati per lavoro o per altre attività sensibili, ma forse il problema non è solo informatico.

Molte delle recensioni indipendenti di questa app notano che i prezzi dei prodotti sono semplicemente insostenibili, considerato che vengono quasi sempre spediti dalla Cina, e quindi fare shopping su tutte queste app che fanno viaggiare i propri prodotti per decine di migliaia di chilometri ma li fanno pagare una manciata di euro, dollari o franchi ha non solo un probabile impatto informatico, ma anche un indubbio impatto ambientale, che va preso in considerazione.

[Fonti aggiuntive: privacy policy di Temu; Agenda Digitale; Cybersecurity360.it]

In seguito alla pubblicazione dell'articolo, abbiamo ricevuto il seguente messaggio di precisazioni, che riportiamo integralmente.

Le affermazioni contenute nel rapporto di Grizzly Research sono prive di fondamento e sono state pubblicate da una piccola società di vendita con un pessimo curriculum. Il rapporto è stato pubblicato con l'intento di creare panico e far crollare i prezzi delle azioni, consentendo alla società di trarre profitto dalle decisioni di vendita.

Le motivazioni e le azioni insolite sono piuttosto evidenti. Temu è incoraggiata dal fatto che la maggior parte degli investitori e dei consumatori abbia compreso le motivazioni sopra indicate e abbia capito le accuse infondate.

Il prezzo delle azioni della società madre di Temu, PDD Holdings, è salito di oltre il 40 per cento dalla pubblicazione del rapporto all'inizio di settembre. Anche se il rapporto era del tutto infondato, Temu riconosce la necessità di comunicare agli utenti le sue pratiche e i suoi protocolli di sicurezza in modo aperto e trasparente e ha preso provvedimenti per migliorare la comunicazione.

Temu dà priorità alla protezione della privacy ed è trasparente sulle pratiche relative ai dati. In quanto parte di PDD Holdings Inc. quotata al Nasdaq, un gruppo di e-commerce con una capitalizzazione di mercato di 190 miliardi di dollari, Temu è soggetta a un'ampia supervisione normativa e di vigilanza.

Temu raccoglie informazioni con uno scopo chiaro e unico: fornire e migliorare continuamente i prodotti e i servizi per i propri utenti. Nel divulgare le pratiche di raccolta dei dati, Temu aderisce al principio della massima divulgazione. Se esiste la possibilità che vengano raccolti dati in un determinato scenario, Temu lo rende noto. Questo è in linea con i requisiti per gli sviluppatori stabiliti dai marketplace di applicazioni come l'App Store di Apple.

Tuttavia, quando si tratta di raccogliere e utilizzare effettivamente i dati, Temu segue il principio di minimizzazione, ovvero raccoglie e utilizza unicamente i dati necessari per scenari specifici e giustificati.

Per quanto riguarda il problema sollevato sulla privacy, come altre importanti app per i consumatori, Temu raccoglie informazioni personali dai suoi utenti per fornire servizi e migliorare l'esperienza del cliente.

In quanto azienda di e-commerce, Temu raccoglie le informazioni necessarie per confermare l'identità del cliente, elaborare i pagamenti e consegnare i prodotti acquistati. Queste informazioni includono dati come le informazioni sull'account, l'indirizzo di casa, gli ordini precedenti e i dettagli di pagamento.

Temu utilizza anche informazioni come l'indirizzo IP, la frequenza e la durata delle visite per fornire un buon servizio e migliorare l'esperienza del cliente. Ciò è in linea con la prassi del settore. Ad esempio, gli indirizzi IP consentono a Temu di offrire una selezione di prodotti appropriata in base al luogo in cui si trova il cliente e di rispettare le leggi e le normative vigenti. Temu non vende le informazioni dei clienti.

Temu ha inserito nel proprio sito web e nell'app spiegazioni evidenti sui dati raccolti e sul loro utilizzo. Ogni singolo utente può visualizzare le autorizzazioni richieste da Temu sul sito web o sull'app alla voce "Impostazioni" o all'indirizzo https://www.temu.com/au/permission.html.

Per un approfondimento sulla posizione di Temu in materia di protezione dei dati, gli utenti possono anche visitare la nostra Informativa sulla privacy completa.

Per quanto riguarda le pubblicità, Whaleco UK Ltd t/a Temu ha dichiarato si trattasse di una piattaforma online globale, lanciata nel Regno Unito nel 2023. I venditori terzi elencano e vendono un'ampia gamma di prodotti sul loro marketplace. Le descrizioni dei prodotti, comprese le immagini, visualizzate sul marketplace sono fornite da terzi. I venditori sono obbligati a rispettare le politiche del marketplace di Temu, che vietano immagini pornografiche, oscene o moleste.

Temu ha spiegato che l'immagine della bambina in bikini nell'annuncio (a) era stata fornita dal venditore e violava la politica di marketing di Temu. L'immagine è stata rimossa dall'account Google Ads e non verrà più mostrata.

Temu ha affermato che le immagini di modelle senza volto non avevano lo scopo di oggettivare sessualmente le donne. Le immagini servivano a mostrare ai clienti una chiara rappresentazione di come venivano indossati i capi di abbigliamento e li aiutavano a scegliere i prodotti da acquistare.

Hanno spiegato che un approccio simile si può trovare su altre piattaforme di e-commerce. Hanno dichiarato che le immagini non contenevano alcuna descrizione o linguaggio che oggettivasse sessualmente le donne. Non hanno utilizzato le caratteristiche delle donne per attirare l'attenzione su un prodotto non correlato. I vestiti stessi non presentavano parole o slogan offensivi.

Inoltre, le immagini non si sono concentrate su parti del corpo specifiche della modella e non sono state presentate in modo tale da dare l'impressione di essere voyeuristiche. Le modelle erano tutte vestite in modo appropriato e non erano in pose sessuali.