Vai al contenuto

Podcast RSI – Temu, quanto è insicura la sua app? L’analisi degli esperti svizzeri

Visualizzazioni: 676

Questo è il testo della puntata del 9 dicembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.


[CLIP: spot di Temu in italiano]

Da tempo circolano voci e dicerie allarmistiche a proposito dell’app di Temu, il popolarissimo negozio online. Ora una nuova analisi tecnica svizzera fa chiarezza: sì, in questa app ci sono delle “anomalie tecniche” che andrebbero chiarite e la prudenza è quindi raccomandata. Ma i fan dello shopping online possono stare abbastanza tranquilli, se prendono delle semplici precauzioni.

Benvenuti alla puntata del 9 dicembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. In questa puntata vediamo cos’è Temu, cosa è accusata di fare in dettaglio, e cosa si può fare per rimediare. Io sono Paolo Attivissimo.

[SIGLA di apertura]


La popolarità del negozio online cinese Temu anche in Svizzera è indiscussa: la sua app è una delle più scaricate in assoluto negli app store di Google e di Apple, e le testate nazionali [Blick] parlano di mezzo milione di pacchetti in arrivo dall’Asia ogni giorno all’aeroporto di Zurigo, spediti principalmente dai colossi cinesi dell’e-commerce come Shein e, appunto, Temu.

Prevengo subito i dubbi sulla mia pronuncia di questi nomi: ho adottato quella usata dalle rispettive aziende, che non è necessariamente quella usata comunemente [pronuncia di Shein; deriva dal nome originale del sito, che era She Inside].

Ma se si immette in Google “temu app pericolosa” emergono molte pagine Web, anche di testate autorevoli, che parlano di questa popolare app in termini piuttosto preoccupanti, con parole tipo “spyware” e “malware”. Molte di queste pagine fondano i propri allarmi su una ricerca pubblicata dalla società statunitense Grizzly Research a settembre del 2023, che dice senza tanti giri di parole che l’app del negozio online cinese Temu sarebbe uno “spyware astutamente nascosto che costituisce una minaccia di sicurezza urgente” e sarebbe anche “il pacchetto di malware e spyware più pericoloso attualmente in circolazione estesa”.

Screenshot dal sito di Grizzly Research

Parole piuttosto pesanti. Online, però, si trovano anche dichiarazioni contrarie ben più rassicuranti.

A fare chiarezza finalmente su come stiano effettivamente le cose arriva ora un’analisi tecnica redatta dall’Istituto nazionale di test per la cibersicurezza NTC, un’associazione senza scopo di lucro con sede a Zugo [video; l’acronimo NTC deriva dal tedesco Nationales Testinstitut für Cybersicherheit]. Secondo questa analisi [in inglese], l’app Temu ha delle “anomalie tecniche insolite” che vanno capite per poter valutare cosa fare.

La copertina dell’analisi dell’NTC

La prima anomalia descritta dai ricercatori dell’NTC è il cosiddetto “caricamento dinamico di codice in runtime proprietario”. Traduco subito: siamo abituati a pensare alle app come dei programmi che una volta scaricati e installati non cambiano, almeno fino a che decidiamo di scaricarne una nuova versione aggiornata. L’app di Temu, invece, è capace di modificarsi da sola, senza passare dal meccanismo degli aggiornamenti da scaricare da un app store. Questo vuol dire che può eludere i controlli di sicurezza degli app store e che può scaricare delle modifiche dal sito di Temu senza alcun intervento dell’utente, e questo le consente di adattare il suo comportamento in base a condizioni specifiche, come per esempio la localizzazione. L’esempio fatto dai ricercatori è sottilmente inquietante: un’app fatta in questo modo potrebbe comportarsi in modo differente, per esempio, solo quando il telefono si trova dentro il Palazzo federale a Berna oppure in una base militare e non ci sarebbe modo di notarlo.

Questo è il significato di “caricamento dinamico di codice”, e va detto che di per sé questo comportamento dell’app di Temu non è sospetto: anche altre app funzionano in modo analogo. Quello che invece è sospetto, secondo i ricercatori dell’NTC, è che questo comportamento si appoggi a un componente software, in gergo tecnico un cosiddetto “ambiente di runtime JavaScript”, che è di tipo sconosciuto, ossia non è mai stato visto in altre app, ed è proprietario, ossia appartiene specificamente all’azienda, invece di essere un componente standard conosciuto. È strano che un’azienda dedichi risorse alla creazione di un componente che esiste già ed è liberamente utilizzabile.

La seconda anomalia documentata dal rapporto tecnico dell’Istituto nazionale di test per la cibersicurezza è l’uso di livelli aggiuntivi di crittografia. Anche qui, in sé l’uso della crittografia per migliorare la protezione dei dati è un comportamento diffusissimo e anzi lodevole, se serve per impedire che le informazioni personali degli utenti vengano intercettate mentre viaggiano via Internet per raggiungere il sito del negozio online. Ma nell’app di Temu la crittografia viene usata anche per “identificare in modo univoco gli utenti che non hanno un account Temu”. E viene adoperata anche per un’altra cosa: per sapere se il dispositivo sul quale sta funzionando l’app è stato modificato per consentire test e analisi. Questo vuol dire che l’app potrebbe comportarsi bene quando si accorge che viene ispezionata dagli esperti e comportarsi… diversamente sugli smartphone degli utenti.

Anche queste, però, sono cose che fanno anche altre app, senza necessariamente avere secondi fini.


C’è però un altro livello aggiuntivo di crittografia che i ricercatori non sono riusciti a decifrare: un pacchettino di dati cifrati che non si sa cosa contenga e che viene mandato a Temu. E a tutto questo si aggiunge il fatto che l’app può chiedere la geolocalizzazione esatta dell’utente, non quella approssimativa, e lo può fare in vari modi.

In sé queste caratteristiche non rappresentano una prova di comportamento ostile e potrebbero essere presenti per ragioni legittime, come lo sono anche in altre app. Ma sono anche le caratteristiche tipiche che si usano per le app che fanno sorveglianza di massa nascosta, ossia sono spyware. Di fatto queste caratteristiche rendono impossibile anche per gli esperti dell’Istituto nazionale di test per la cibersicurezza determinare se l’app Temu sia pericolosa oppure no.

Ma allora come mai i ricercatori di Grizzly Research sono stati invece così categorici? L’analisi tecnica svizzera spiega che Grizzly non è un’azienda dedicata alla sicurezza informatica, ma è una società che si occupa di investimenti finanziari e “ha un interesse economico nel far scendere le quotazioni di borsa e quindi non è neutrale”.

I ricercatori svizzeri, tuttavia, non possono scagionare completamente l’app di Temu proprio perché manca la trasparenza. Fatta come è attualmente, questa app potrebbe (e sottolineo il potrebbe) “contenere funzioni nascoste di sorveglianza che vengono attivate solo in certe condizioni (per esempio in certi luoghi o certi orari)” e non sarebbe possibile accorgersene. L’Istituto nazionale di test per la cibersicurezza nota inoltre che Temu e la società che la gestisce, la PDD, sono soggette al diritto cinese, che non garantisce una protezione adeguata dei dati degli utenti dal punto di vista europeo, e aggiunge che “le agenzie governative in Cina hanno accesso facilitato ai dati personali e le aziende vengono spesso obbligate a condividere dati con queste agenzie”.

Un’app che ha tutte le caratteristiche tecniche ideali per farla diventare uno strumento di sorveglianza di massa e appartiene a un’azienda soggetta a un governo che non offre le garanzie di protezione dei dati personali alle quali siamo abituati non è un’app che rassicura particolarmente. Ma non ci sono prove di comportamenti sospetti.

Per questo i ricercatori svizzeri sono arrivati a una raccomandazione: in base a un principio di prudenza, è opportuno valutare con attenzione se installare Temu in certe circostanze, per esempio su smartphone aziendali o governativi o di individui particolarmente vulnerabili, e tutti gli utenti dovrebbero fare attenzione ai permessi richiesti ogni volta durante l’uso dell’app, per esempio la geolocalizzazione o l’uso della fotocamera, e dovrebbero tenere costantemente aggiornati i sistemi operativi dei propri dispositivi.

Tutto questo può sembrare davvero troppo complicato per l’utente comune che vuole solo fare shopping, ma per fortuna i ricercatori dell’Istituto nazionale di test per la cibersicurezza hanno una soluzione più semplice e al tempo stesso sicura.


Se siete preoccupati per il rischio tecnicamente plausibile di essere spiati da Temu o da app analoghe, soprattutto se vivete o lavorate in ambienti sensibili, i ricercatori svizzeri propongono una scelta facile e a costo zero: invece di usare l’app di Temu, accedete al sito di Temu usando il browser del telefono o del tablet o del computer. Questo vi permette di avere maggiore controllo, riduce la superficie di attacco disponibile per eventuali abusi, e riduce drasticamente gli appigli tecnici che consentirebbero un’eventuale sorveglianza di massa.

C’è invece un altro aspetto di sicurezza, molto concreto, che emerge da altre indagini tecniche svolte su Temu e sulla sua app: il rischio di furto di account. È altamente consigliabile attivare l’autenticazione a due fattori, che Temu ha introdotto a dicembre 2023, oltre a scegliere una password robusta e complessa. Questa misura antifurto si attiva andando nelle impostazioni di sicurezza dell’app e scegliendo se si vuole ricevere un codice di verifica via SMS oppure immettere un codice generato localmente dall’app di autenticazione, quando ci si collega al sito. Temu è un po’ carente sul versante sicurezza: secondo i test di Altroconsumo, quando un utente si registra su Temu non gli viene chiesto di scegliere una password sicura e robusta. Gli sperimentatori hanno immesso come password “1234” e Temu l’ha accettata senza batter ciglio.

Questa è insomma la situazione: nessuna prova, molti sospetti, un’architettura che si presterebbe molto bene ad abusi, e una dipendenza da leggi inadeguate ai nostri standard di riservatezza. Ma la soluzione c’è: usare un browser al posto dell’app. Gli esperti dell’Istituto nazionale di test per la cibersicurezza non hanno invece soluzioni per un altro problema dei negozi online: la scarsissima qualità, e in alcuni casi la pericolosità, dei prodotti offerti. Giocattoli con pezzi piccoli che potrebbero portare al soffocamento, assenza di istruzioni in italiano, mancanza delle omologazioni di sicurezza previste dalle leggi, assenza di elenco degli ingredienti dei cosmetici e imballaggi difficilissimi da smaltire sono fra i problemi più frequentemente segnalati.

Forse questo, più di ogni dubbio sulla sicurezza informatica, è un buon motivo per diffidare di questi negozi online a prezzi stracciati.

Fonti aggiuntive

Comunicato stampa dell’Istituto Nazionale di test per la cibersicurezza NTC (in italiano), 5 dicembre 2024

Un istituto di prova indipendente aumenta la sicurezza informatica nazionale in Svizzera, M-Q.ch (2022)

Temu da… temere – Puntata di Patti Chiari del 18 ottobre 2024

People only just learning correct way to pronounce Shein – it’s not what you think, Manchester Evening News, 2024

Temu è uno spyware? Cosa c’è di vero nelle ipotesi di Grizzly Research – Agenda Digitale (2023)