Tecnologia
Aplicativo de compras popular na China é capaz de espionar usuários, segundo especialistas
O Pinduoduo é um dos aplicativos de compras mais populares da China, vendendo roupas, mantimentos e praticamente tudo para mais de 750 milhões de usuários por mês.
Porém, de acordo com pesquisadores de segurança cibernética, ele também pode contornar a segurança do celular dos usuários para monitorar atividades em outros aplicativos, verificar notificações, ler mensagens privadas e alterar configurações.
E uma vez instalado, é difícil de remover.
Enquanto muitos aplicativos coletam grandes quantidades de dados do usuário, às vezes sem consentimento explícito, especialistas dizem que a gigante do comércio eletrônico Pinduoduo levou as violações de privacidade e segurança de dados para o próximo nível.
Em uma investigação detalhada, a CNN conversou com meia dúzia de equipes de segurança cibernética da Ásia, Europa e Estados Unidos – bem como vários ex-funcionários atuais e atuais da Pinduoduo – depois de receber uma denúncia.
Vários especialistas identificaram a presença de um malware no aplicativo, que explorava vulnerabilidades nos sistemas operacionais Android. Pessoas de dentro da empresa disseram que os exploits foram utilizados para espionar usuários e concorrentes, supostamente para aumentar as vendas.
“Não vimos um aplicativo popular como este ten
tando aumentar seus privilégios para obter acesso a coisas às quais não deveriam”, disse Mikko Hyppönen, diretor de pesquisa da WithSecure, uma empresa finlandesa de segurança cibernética.
Isso é altamente incomum e é bastante prejudicial para PinduoduoMikko Hyppönen, especialista em cibersegurança
Malware, abreviação de software malicioso, refere-se a qualquer software desenvolvido para roubar dados ou interferir em sistemas de computador e dispositivos móveis.
A evidência de malware sofisticado no aplicativo Pinduoduo ocorre em meio a um intenso escrutínio de aplicativos desenvolvidos na China, como o TikTok, devido a preocupações com a segurança dos dados.
Alguns legisladores americanos estão pressionando pela proibição nacional do popular aplicativo de vídeos curtos, cujo CEO Shou Chew foi interrogado pelo Congresso por cinco horas na semana passada sobre suas relações com o governo chinês.
As revelações também devem atrair mais atenção para o aplicativo irmão internacional do Pinduoduo, Temu, que está no topo das paradas de download dos EUA e se expandindo rapidamente em outros mercados ocidentais. Ambos são de propriedade da Pinduoduo, listada na Nasdaq, uma empresa multinacional com raízes na China.
Embora Temu não tenha sido implicado, as supostas ações de Pinduoduo correm o risco de lançar uma sombra sobre a expansão global de seu aplicativo irmão.
Não há evidências de que Pinduoduo tenha entregue dados ao governo chinês. Mas, como Pequim desfruta de uma influência significativa sobre os negócios sob sua jurisdição, os legisladores americanos temem que qualquer empresa que opere na China possa ser forçada a cooperar com uma ampla gama de atividades de segurança.
As descobertas seguem a suspensão do Pinduoduo da Play Store pelo Google em março, citando malware identificado em versões do aplicativo.
Um relatório subsequente da Bloomberg disse que uma empresa russa de segurança cibernética também identificou malware em potencial no aplicativo.
A Pinduoduo já rejeitou anteriormente “a especulação e a acusação de que o aplicativo Pinduoduo é malicioso”.
A CNN entrou em contato com o Pinduoduo várias vezes por e-mail e telefone para comentar, mas não recebeu uma resposta.
Ascensão para o sucesso
A Pinduoduo, que possui uma base de usuários que representa três quartos da população online da China e um valor de mercado três vezes superior ao do eBay, nem sempre foi um gigante das compras online.
Fundada em 2015 em Xangai por Colin Huang, um ex-funcionário do Google, a startup lutava para se estabelecer em um mercado há muito dominado pelos fortes e-commerce Alibaba e JD.com.
Ela conseguiu oferecer grandes descontos em pedidos de compra de grupos de amigos e familiares e se concentrar em áreas rurais de baixa renda.
A Pinduoduo registrou crescimento de três dígitos em usuários mensais até o final de 2018, ano em que foi listada em Nova York. Em meados de 2020, porém, o aumento de usuários mensais havia diminuído para cerca de 50% e continuaria diminuindo, de acordo com seus relatórios de ganhos.
Foi em 2020, de acordo com um atual funcionário da Pinduoduo, que a empresa montou uma equipe de cerca de 100 engenheiros e gerentes de produto para procurar vulnerabilidades em telefones Android, desenvolver maneiras de explorá-las –e transformar isso em lucro.
De acordo com a fonte, que pediu anonimato por medo de represálias, a empresa visava apenas usuários em áreas rurais e cidades menores inicialmente, evitando usuários em megacidades como Pequim e Xangai.
“O objetivo era reduzir o risco de exposição”, disseram eles.
Ao coletar dados abrangentes sobre as atividades dos usuários, a empresa conseguiu criar um retrato abrangente dos hábitos, interesses e preferências dos usuários, de acordo com a fonte.
Isso permitiu melhorar seu modelo de aprendizado de máquina para oferecer notificações push e anúncios mais personalizados, atraindo usuários para abrir o aplicativo e fazer pedidos, disseram eles.
A equipe foi dissolvida no início de março, acrescentou a fonte, depois que perguntas sobre suas atividades vieram à tona.
A Pinduoduo não respondeu aos pedidos repetidos da CNN para comentar sobre a equipe.
O que os especialistas descobriram
Pesquisadores da empresa cibernética Check Point Research, com sede em Tel Aviv, da Oversecured, uma startup de segurança de aplicativos com sede em Delaware, EUA, e a WithSecure de Mikko Hyppönen realizaram análises independentes da versão 6.49.0 do aplicativo, lançada nas lojas de aplicativos chinesas no final de fevereiro.
O Google Play não está disponível na China e os usuários do Android no país baixam seus aplicativos nas lojas locais. Em março, quando o Google suspendeu o Pinduoduo, disse ter encontrado malware em versões obtidas fora da loja virtual Google Play.
Os pesquisadores encontraram um código projetado para alcançar a “escalada de privilégios”: um tipo de ataque cibernético que explora um sistema operacional vulnerável para obter um nível mais alto de acesso aos dados do que deveria, de acordo com especialistas.
“Nossa equipe fez engenharia reversa desse código e podemos confirmar que ele tenta aumentar os direitos, tenta obter acesso a coisas que aplicativos normais não seriam capazes de fazer em telefones Android”, disse Hyppönen.
O aplicativo foi capaz de continuar rodando em segundo plano e evitar que fosse desinstalado, o que permitiu aumentar suas taxas mensais de usuários ativos, disse Hyppönen. Ele também tinha a capacidade de espionar os concorrentes rastreando a atividade em outros aplicativos de compras e obtendo informações deles, acrescentou.
A Check Point Research também identificou maneiras pelas quais o aplicativo foi capaz de escapar do escrutínio.
O aplicativo implantou um método que permitia enviar atualizações sem um processo de revisão da loja de aplicativos destinado a detectar aplicativos maliciosos, disseram os pesquisadores.
Eles também identificaram em alguns plug-ins a intenção de ocultar componentes potencialmente maliciosos, ocultando-os sob nomes de arquivos legítimos, como o do Google.
“Essa técnica é amplamente usada por desenvolvedores de malware que injetam códigos maliciosos em aplicativos que possuem funcionalidade legítima”, disseram eles.
Android como alvo
Na China, cerca de três quartos dos usuários de smartphones usam o sistema Android. O iPhone da Apple tem 25% de participação de mercado, de acordo com Daniel Ives, da Wedbush Securities.
Sergey Toshin, fundador da Oversecured, disse que o malware do Pinduoduo visava especificamente diferentes sistemas operacionais baseados no Android, incluindo aqueles usados pela Samsung, Huawei, Xiaomi e Oppo.
A CNN entrou em contato com essas empresas para comentar.
Toshin descreveu o Pinduoduo como “o malware mais perigoso” já encontrado entre os aplicativos convencionais.
Nunca vi nada assim antes. É tipo, super expansivoSergey Toshin, especialista em segurança de Android
A maioria dos fabricantes de telefones personaliza globalmente o software principal do Android, o Android Open Source Project (AOSP), para adicionar recursos e aplicativos exclusivos a seus próprios dispositivos.
Toshin descobriu que o Pinduoduo explorou cerca de 50 vulnerabilidades do sistema Android. A maioria das exploits foi feita sob medida para peças personalizadas conhecidas como código do fabricante de equipamento original (OEM), que tende a ser auditado com menos frequência do que o AOSP e, portanto, é mais propenso a vulnerabilidades, disse ele.
O Pinduoduo também explorou várias vulnerabilidades do AOSP, incluindo uma que foi sinalizada por Toshin para o Google em fevereiro de 2022. O Google corrigiu o bug em março, disse ele.
De acordo com Toshin, as explorações permitiram que o Pinduoduo acessasse as localizações, contatos, calendários, notificações e álbuns de fotos dos usuários sem o consentimento deles. Eles também foram capazes de alterar as configurações do sistema e acessar as contas e bate-papos das redes sociais dos usuários, disse ele.
Das seis equipes com as quais a CNN conversou para esta reportagem, três não realizaram análises completos. Mas suas análises primárias mostraram que o Pinduoduo solicitou um grande número de permissões além das funções normais de um aplicativo de compras.
Eles incluíam “permissões potencialmente invasivas”, como “definir papel de parede” e “baixar sem notificação”, disse René Mayrhofer, chefe do Instituto de Redes e Segurança da Johannes Kepler University Linz, na Áustria.
Dissolvendo a equipe
As suspeitas sobre malware no aplicativo Pinduoduo foram levantadas pela primeira vez no final de fevereiro em um relatório de uma empresa chinesa de segurança cibernética chamada Dark Navy.
Mesmo que a análise não nomeasse diretamente a gigante das compras, o relatório se espalhou rapidamente entre outros pesquisadores, que nomearam a empresa. Alguns dos analistas seguiram com seus próprios relatórios confirmando as descobertas originais.
Logo depois, em 5 de março, a Pinduoduo lançou uma nova atualização de seu aplicativo, a versão 6.50.0, que removeu os exploits, segundo dois especialistas.
Dois dias após a atualização, o Pinduoduo desfez a equipe de engenheiros e gerentes de produto que desenvolveram os exploits, de acordo com a fonte do Pinduoduo.
No dia seguinte, os membros da equipe se viram impedidos de acessar o aplicativo de comunicação personalizado de trabalho do Pinduoduo, o Knock, e perderam o acesso aos arquivos na rede interna da empresa. Os engenheiros também descobriram que seu acesso a big data, planilhas de dados e sistema de log foi revogado, disse a fonte.
A maior parte da equipe foi transferida para trabalhar na Temu. Eles foram designados para diferentes departamentos da subsidiária, alguns trabalhando em marketing ou desenvolvendo notificações push, de acordo com a fonte.
Um grupo central de cerca de 20 engenheiros de segurança cibernética especializados em encontrar e explorar vulnerabilidades permanece na Pinduoduo, disseram eles.
Toshin, da Oversecured, que analisou a atualização, disse que embora os exploits tenham sido removidos, o código subjacente ainda estava lá e poderia ser reativado para realizar ataques.
Falha de supervisão
A Pinduoduo conseguiu aumentar sua base de usuários em um cenário de repressão regulatória do governo chinês à Big Tech, que começou no final de 2020. Naquele ano, o Ministério da Indústria e Tecnologia da Informação lançou uma repressão abrangente contra aplicativos que coletam e usam dados pessoais ilegalmente.
Em 2021, Pequim aprovou sua primeira legislação abrangente sobre privacidade de dados.
A Lei de Proteção de Informações Pessoais estipula que nenhuma parte deve coletar, processar ou transmitir informações pessoais ilegalmente. Eles também estão proibidos de explorar vulnerabilidades de segurança relacionadas à Internet ou de se envolver em ações que ponham em risco a segurança cibernética.
O aparente malware do Pinduoduo seria uma violação dessas leis, dizem especialistas em políticas de tecnologia, e deveria ter sido detectado pelo órgão regulador.
“Isso seria embaraçoso para o Ministério da Indústria e Tecnologia da Informação, porque esse é o trabalho deles”, disse Kendra Schaefer, especialista em política de tecnologia da consultoria Trivium China.
Eles deveriam verificar o Pinduoduo, e o fato de não terem encontrado (nada) é embaraçoso para o reguladorKendra Schaefer, especialista em política de tecnologia
O ministério publica regularmente listas para nomear e envergonhar os aplicativos que violam a privacidade do usuário ou outros direitos. Ele também publica uma lista separada de aplicativos que são removidos das lojas de aplicativos por não cumprir os regulamentos.
Pinduoduo não apareceu em nenhuma das listas.
A CNN entrou em contato com o Ministério da Indústria e Tecnologia da Informação e a Administração do Ciberespaço da China para comentar.
Nas mídias sociais chinesas, alguns especialistas em segurança cibernética questionaram por que os reguladores não tomaram nenhuma ação.
“Provavelmente nenhum de nossos reguladores pode entender de codificação e programação, nem entendem de tecnologia. Você não consegue se quer entender o código malicioso quando ele é empurrado bem na sua cara”, escreveu na semana passada um especialista em segurança cibernética com 1,8 milhão de seguidores, em um post viral no Weibo, uma plataforma semelhante ao Twitter.
A postagem foi censurada no dia seguinte.
*Com informações de Kristie Lu Stout e Sean Lyngaas, da CNN.
A OpenAI revelou estar desenvolvendo a OpenAI Jobs Platform, um serviço de contratação baseado em inteligência artificial que promete conectar empresas e trabalhadores de forma mais precisa. O lançamento está previsto para meados de 2026, segundo a empresa.
Fidji Simo, CEO de Aplicativos da OpenAI, afirmou em um post de blog que a plataforma usará IA para “encontrar a combinação perfeita entre o que as empresas precisam e o que os trabalhadores podem oferecer”.
O foco inicial será atender pequenas empresas e governos locais em busca de talentos especializados em IA.
LinkedIn ganha concorrência
- A iniciativa coloca a OpenAI em rota de colisão com o LinkedIn, controlado pela Microsoft, que também é a principal financiadora da criadora do ChatGPT.
- O LinkedIn já vem adicionando recursos de IA para melhorar a conexão entre candidatos e vagas.
- Além da plataforma de empregos, a OpenAI planeja expandir suas ofertas com certificações por meio da OpenAI Academy, lançada em 2023.
- A empresa pretende iniciar o programa de certificações em 2025, em parceria com grandes empregadores como o Walmart, e certificar 10 milhões de americanos até 2030.
Leia mais:
- OpenAI pode se tornar a empresa de capital fechado mais valiosa do mundo
- 5 prompts para descobrir o que o ChatGPT sabe sobre você
- OpenAI terá um escritório na Índia – segundo maior mercado do ChatGPT
IA no mercado de trabalho: ameaça ou aliada?
A novidade chega em meio a debates sobre o impacto da IA no mercado de trabalho. Executivos do setor, como Dario Amodei, da Anthropic, já alertaram que até metade dos empregos de nível básico de colarinho branco pode desaparecer até 2030.
Simo reconheceu o risco, mas afirmou que a OpenAI quer ajudar trabalhadores a se adaptarem ao novo cenário, oferecendo treinamento e oportunidades em setores em transformação.
O post OpenAI anuncia plataforma para competir com o LinkedIn apareceu primeiro em Olhar Digital.
Powered by WPeMatico
A Administração Federal de Aviação (FAA, na sigla em inglês) dos Estados Unidos concluiu a revisão ambiental do pedido da SpaceX para dobrar o número de lançamentos do Falcon 9 a partir da Estação da Força Espacial de Cabo Canaveral, na Flórida. Os reguladores aprovaram a ampliação do número de voos de 50 para até 120 por ano.
Eles avaliaram que as mudanças “não impactariam significativamente a qualidade do ambiente humano”, segundo o Tech Crunch. O plano também incluiu a construção de uma nova zona de pouso para receber até 34 propulsores por ano — a maioria sendo partes reutilizáveis do foguete.
Essa é apenas mais uma etapa do processo que dará permissão, de fato, para ampliar as operações da empresa de Elon Musk. A empresa ainda depende da atualização de licença emitida pela FAA e aprovação do Departamento da Força Aérea para as mudanças, já que a plataforma de lançamento fica em propriedade da Força Espacial.
O que diz a revisão
- Os reguladores aprovaram a emissão de licenças ambientais para garantir segurança durante as obras, o que inclui o uso de iluminação adequada para tartarugas marinhas à noite e a realização de pesquisas pré-construção sobre as populações de gaios-da-Flórida e cobras-índigo-orientais para garantir a proteção da vida selvagem;
- Além disso, na avaliação da FAA, é altamente improvável que águas residuais industriais — especialmente os enormes volumes de água descarregados pelo sistema de dilúvio durante o lançamento — sejam despejados em águas próximas;
- Esse tem sido um ponto controverso ao longo do processo: no Texas (EUA), ambientalistas processaram órgãos reguladores de locais próximos à Starbase no Estado por permitir que a empresa espacial descarregasse águas residuais industriais da plataforma.
Leia mais:
- Por que colonizar Marte agora pode ser um erro monumental?
- Starlink x fibra: a batalha de Elon Musk com empresas de internet nos EUA
- Bombas atômicas em Marte? Entenda a camiseta ‘Nuke Mars’ de Elon Musk
Musk quer mais para a SpaceX
A SpaceX é atualmente a empresa que mais lança foguetes no mundo, atendendo desde clientes comerciais até o Departamento de Defesa dos EUA e a sua própria rede de satélites de internet Starlink. E a tendência é que a lista continue crescendo.
Agora, a empresa tem planos de expandir sua presença na Costa Oeste, lançando até 100 foguetes Falcon por ano a partir da Base da Força Espacial de Vandenberg, na Califórnia. Futuramente, a Starship também pode ser usada em missões na Lua e em Marte, com lançamentos tanto no Texas quanto na Flórida.
A Starship é a nave espacial mais potente em operação, construída com um sistema totalmente reutilizável. Com 123 metros de altura, o foguete tem capacidade de carga de 150 toneladas. E foi projetado para transportar até 100 pessoas em voos interplanetários de longa duração.
O post SpaceX dá mais um passo para lançar até 120 voos por ano na Flórida apareceu primeiro em Olhar Digital.
Powered by WPeMatico
Vencedor do Prêmio Jabuti de 2020, com o título “Uma Mulher no Escuro”, Raphael Montes já vendeu mais de um milhão de livros no Brasil, e coleciona adaptações e roteiros que são um sucesso, disponíveis para assistir online no streaming.
Dos mistérios intensos de Bom dia, Verônica à trama explosiva de vingança em Beleza Fatal, Raphael Montes conquista os fãs com narrativas envolventes e cheias de reviravoltas. A seguir, confira cinco obras imperdíveis para quem deseja mergulhar de vez no suspense nacional.
Leia mais:
- Gostou de Beleza Fatal? Veja 5 séries e novelas parecidas para assistir online no streaming
- As melhores novelas originais nos streamings
- Realismo mágico: 8 filmes e séries que abordam o estilo para você assistir no streaming
Conheça adaptações de Raphael Montes para assistir no streaming
1-Bom Dia, Verônica – Netflix
Bom dia, Verônica, é um dos maiores sucessos de Raphael Montes no streaming, criado em parceria com a criminóloga Ilana Casoy. A série acompanha Verônica Torres, uma escrivã da polícia que se vê envolvida em investigações sombrias após testemunhar um suicídio e receber uma ligação anônima de uma mulher em perigo.
A trama mergulha em temas como violência doméstica, abuso psicológico e corrupção, tudo envolto em uma atmosfera de tensão crescente e reviravoltas impactantes. Com três temporadas disponíveis na Netflix, a produção se destaca pelo roteiro afiado e atuações intensas, especialmente de Tainá Müller no papel principal.
2- Uma Família Feliz – Globoplay
Uma Família Feliz é uma adaptação poderosa do livro homônimo de Raphael Montes, que mergulha fundo na psique de uma mulher aparentemente perfeita, mas emocionalmente devastada.
Eva, interpretada por Grazi Massafera, vive o sonho de muitas: uma casa impecável, filhas adoráveis e um marido bem-sucedido. No entanto, tudo desmorona quando ela é acusada de um crime chocante, revelando uma trama de segredos, pressões sociais e fragilidade mental.
Além disso, o roteiro é fiel ao estilo de Montes, combinando suspense psicológico com crítica social, expondo as expectativas sufocantes impostas às mulheres e o peso da maternidade idealizada. A narrativa não entrega respostas fáceis, e isso é justamente o que a torna tão instigante: cada cena convida à dúvida, à empatia e ao julgamento.
3-Dias Perfeitos – Globoplay
Sobretudo, Dias Perfeitos é uma das adaptações mais impactantes de Raphael Montes para o streaming, disponível exclusivamente no Globoplay. Baseada no best-seller homônimo, a série mergulha no universo sombrio de Téo, um estudante de medicina aparentemente inofensivo que desenvolve uma obsessão doentia por Clarice, uma jovem roteirista.
Além disso, a trama se transforma em um thriller psicológico intenso, explorando temas como controle, manipulação e a distorção do amor. Sem contar que Raphael Montes, autor da obra original, participou ativamente da adaptação, garantindo que a essência do livro fosse preservada mesmo com as mudanças narrativas para a TV.
4-A Menina que Matou os Pais – HBO Max
Disponível para assistir online no Prime Video, A Menina que Matou os Pais figura entre os trabalhos mais provocativos e discutidos de Raphael Montes.
Inspirada no caso real que chocou o Brasil, o assassinato dos pais de Suzane von Richthofen, a trilogia se destaca por apresentar múltiplas versões da mesma história: o ponto de vista de Suzane, o de Daniel Cravinhos e, por fim, os bastidores da investigação que revelou os detalhes do crime.
Vale lembrar que nesse caso, a produção em questão não é adaptação de um livro de Raphael Montes, mas roteiro é coassinado por ele e pela criminóloga Ilana Casoy.
Os filmes misturam o rigor do true crime com uma abordagem cinematográfica envolvente, explorando as motivações, manipulações e conflitos emocionais dos envolvidos.
5-Beleza Fatal – HBO Max
Outro roteiro de sucesso de Raphael Montes, que parou o Brasil foi Beleza Fatal, primeira obra do autor em novela no streaming. Exibida pela HBO Max, a trama mistura vingança, estética e segredos familiares em um universo onde beleza e poder caminham lado a lado.
A história, que prende nossa atenção a todo o momento, gira em torno de Sofia (Camila Queiroz), que busca justiça após a prisão injusta de sua mãe, enfrentando a vilã Lola Argento (Camila Pitanga) em uma espiral de manipulações e revelações. Com um elenco de peso e direção afiada, a novela se tornou um fenômeno nacional e internacional.
O post 5 adaptações e roteiros de Raphael Montes para assistir online no streaming apareceu primeiro em Olhar Digital.
Powered by WPeMatico
OpenAI anuncia plataforma para competir com o LinkedIn
The Town 2025 Mostra Que Entretenimento Também é Economia
PIB: economia capixaba cresce +2,3% no 2º trimestre de 2025 aponta IJSN
Itapemirim: reinauguração da Ponte da Vila contará com a presença do governador Renato Casagrande
Brasil joga bem no Maracanã e derrota Chile por 3×0 pelas Eliminatórias
Cariacica: 813 vagas de emprego são abertas na Agência do Trabalhador do município
Morre pai dos quíntuplos do ES, após luta contra câncer
Lideranças querem manter alfândega no ES
Papa Francisco sugere ligeira abertura para bênçãos a casais do mesmo sex
Governo do ES anuncia aumento de 100% no valor do auxílio alimentação
-
Cidades4 dias atrásPrefeito Toninho trata da liberação de obras para Marataízes no Palácio Anchieta
-
Justiça3 dias atrásVeja como foi o 1º dia do julgamento de Bolsonaro e mais sete réus
-
Internacional4 dias atrásChina propõe nova ordem mundial ao lado da Rússia e da Índia
-
Geral3 dias atrásGoverno do Estado lança inscrições para 3.500 novas vagas no CNH Social
-
Geral4 dias atrásGoverno anuncia reajuste salarial para professores e agentes de suporte educacional
-
Política2 dias atrásSenado reduz prazo de inelegibilidade previsto na Lei da Ficha Limpa
-
Política2 dias atrásSenado oficializa afastamento de Marcos do Val por 115 dias
-
Cidades19 horas atrásItapemirim: reinauguração da Ponte da Vila contará com a presença do governador Renato Casagrande
