يبدو أن الأزمات تلاحق التطبيقات الصينية، وبينما تجمع العديد من التطبيقات مجموعة كبيرة من بيانات المستخدم قد تكون دون موافقة صريحة يقول الخبراء إن شركة التجارة الإلكترونية الصينية «بيندودو» قد نقلت انتهاكات الخصوصية وأمن البيانات إلى المستوى التالي.
«بيندودو» هو أحد تطبيقات التسوق الأكثر شيوعاً في الصين، إذ يبيع الملابس والبقالة وأي شيء آخر إلى أكثر من 750 مليون مستخدم شهرياً.
وفي تحقيق مفصل، تحدثت «CNN» مع عدد من خبراء الأمن السيبراني من آسيا وأوروبا والولايات المتحدة، إضافة إلى العديد من موظفي «بيندودو».
حدد العديد من الخبراء وجود برامج ضارة على تطبيق «بيندودو»، يمكنها استغلال نقاط الضعف في أنظمة تشغيل «أندرويد».
وقال المطلعون على الشركة إن الثغرات استخدمت للتجسس على المستخدمين والمنافسين بحجة زيادة المبيعات.
قال كبير مسؤولي الأبحاث في شركة «ويذ سيكيور» الفنلندية للأمن السيبراني، ميكو هيبونن، «لم نرَ تطبيقاً يشبه (بيندودو) في محاولة تصعيد امتيازاته للوصول إلى الأمور التي لا يفترض أن يتمكن من الوصول إليها».
يأتي الدليل على وجود برمجيات خبيثة ضمن تطبيق «بيندودو» لسرقة البيانات أو التدخل في أنظمة الحاسب الآلي والهواتف الذكية، وسط التدقيق المكثف على التطبيقات الصينية مثل «تيك توك»، بسبب مخاوف من أمن البيانات أيضاً.
يضغط بعض المشرعين الأميركيين لفرض حظر على تطبيق الفيديو القصير الشهير «تيك توك»، والذي استجوب الكونغرس رئيسه التنفيذي، تشو زي تشيو، لمدة خمس ساعات الأسبوع الماضي.
من المرجح أيضاً أن تجذب عمليات الكشف مزيداً من الانتباه إلى تطبيق «تيمو»، الذي يتصدر مخططات التنزيل في الولايات المتحدة، ويتوسع بسرعة في الأسواق الغربية الأخرى.
على الرغم من عدم وجود دليل على تسليم «بيندودو» بيانات مستخدميها إلى الحكومة الصينية، فإن المشرعين الأميركيين يخشون من إمكانية تعاون الشركات الصينية مع السلطات الأمنية.
وكانت «غوغل» علّقت تطبيق «بيندودو» من متجرها الإلكتروني في مارس آذار، بسبب بعض البرامج الضارة التي رصدتها في التطبيق.
نجاح «بيندودو»
يفتخر تطبيق «بيندودو» بقاعدة مستخدمين تمثل ثلاثة أرباع مستخدمي الإنترنت في الصين وقيمة سوقية تبلغ ثلاثة أضعاف قيمة «إي باي»، وقصة النجاح تلك لم تكن وليدة الصدفة.
أسس الموظف السابق في «غوغل» كولين هوانغ، الشركة في عام 2015 في شنغهاي، إذ كانت تكافح من أجل إثبات نفسها في سوق طالما هيمنت عليها شركات التجارة الإلكترونية مثل «علي بابا».
ونجح «بيندودو» من خلال تقديم خصومات كبيرة على طلبات الشراء الجماعية للأصدقاء والعائلة، والتركيز على المناطق الريفية ذات الدخل المنخفض، وبالفعل حقق انتشاراً واسعاً حتى نهاية عام 2018.
لكن بحلول 2020، تباطأت الزيادة في عدد المستخدمين شهرياً، واستمرت في الانخفاض وفقاً لتقارير الأرباح.
وفقاً لموظف حالي في «بيندودو» -طلب عدم الكشف عن هويته- فإن الشركة شكلت في العام ذاته فريقاً من 100 مهندس ومدير منتج للبحث عن نقاط الضعف في هواتف «أندرويد»، لتطوير طرق لاستغلالها، وتحقيق بعض الأرباح.
استهدفت الشركة المستخدمين في المناطق الريفية والبلدات الصغيرة فقط في البداية، مع تجنب المستخدمين في المدن الكبرى مثل بكين وشنغهاي، ومن خلال جمع بيانات موسعة عن أنشطة المستخدم، تمكنت الشركة من إنشاء صورة شاملة لعادات المستخدمين واهتماماتهم وتفضيلاتهم، وفقاً للمصدر.
وأضاف المصدر أن الشركة قالت إن هذا الإجراء مكنها من تحسين نموذج التعلم الآلي الخاص بها لتقديم إشعارات وإعلانات أكثر تخصصاً، لكنها قررت حل الفريق في أوائل مارس آذار بعد ظهور استفسارات حول أنشطته.
رأي الخبراء
أجرى باحثون من شركة «تشيك بويت ريسيرش» الإلكترونية، وشركة «أوفرسيكيورد» لأمن التطبيقات، و«ويذ سيكيور» تحليلاً مستقلاً لإحدى إصدارات التطبيق.
وجد الباحثون رمزاً مخصصاً لتصعيد الامتيازات، كنوع من الهجمات الإلكترونية التي تستغل نظام التشغيل الضعيف للحصول على مستوى أعلى من الوصول إلى البيانات.
يقول هيبونن إن التطبيق كان قادراً على الاستمرار في العمل على الرغم من إلغاء التثبيت، ما أعطاه زيادة معدلات في المستخدمين النشطين شهرياً، كما أنه يملك القدرة على التجسس على المنافسين من خلال تتبع النشاط على تطبيقات التسوق الأخرى والحصول على معلومات منها.
وأضاف باحثو «تشيك بويت ريسيرش» أن التطبيق يتبع طريقة تسمح له بتطوير التحديثات دون الحاجة إلى مراجعة متجر التطبيقات للكشف عن البرمجيات الضارة.
استهداف «أندرويد»
في الصين، يستخدم نحو ثلاثة أرباع مستخدمي الهواتف الذكية نظام «أندرويد»، قال مؤسس شركة «أوفر سيكيورد» سيرغي توشين، إن البرمجيات الضارة على تطبيق «بيندودو» تستهدف أنظمة تشغيل مختلفة قائمة على «أندرويد»، بما في ذلك تلك المستخدمة من قبل «سامسونغ»، و«هواوي»، و«تشاومي»، و«أوبو».
وجد توشين أن التطبيق قد استغل نحو 50 نقطة ضعف في نظام «أندرويد»، ما سمح له بالوصول إلى مواقع المستخدمين وجهات الاتصال والتقويمات والإشعارات وألبومات الصور دون موافقتهم، كما مكنتهم من تغيير إعدادات النظام والوصول إلى حسابات المستخدمين على مواقع التواصل الاجتماعي، والاطلاع على المحادثات.
فشل الرقابة
تمكن «بيندودو» من زيادة قاعدة مستخدميه بعد الحملة التنظيمية للحكومة الصينية على شركات التكنولوجيا الكبرى، والتي بدأت في أواخر عام 2020.
وفي العام ذاته، أطلقت وزارة الصناعة وتكنولوجيا المعلومات حملة شاملة على التطبيقات التي تجمع البيانات الشخصية وتستخدمها بشكل غير قانوني.
في عام 2021، أصدرت بكين أول تشريع شامل لخصوصية البيانات.
نص قانون حماية المعلومات الشخصية على أنه لا يجوز لأي طرف جمع المعلومات الشخصية أو معالجتها أو نقلها بشكل غير قانوني، كما يُحظر عليهم استغلال الثغرات الأمنية المتعلقة بالإنترنت أو الانخراط في أعمال تهدد الأمن السيبراني.
يقول خبراء سياسة التكنولوجيا إن البرمجيات الخبيثة الواضحة في «بيندودو» ستكون انتهاكاً لتلك القوانين، وكان يجب أن تكتشفها الجهة المنظمة.
كتب- نكتار غان ويونغ شيونغ وجوليانا ليو (CNN)
أسهمت في التقرير- كريستي لو ستاوت وشون لينغاس (CNN).