TIP#2609: Čínské aplikace mi do mobilu nesmí, chtějí toho moc. Daleko víc než ty naše. Pravda nebo mýtus? Kauza Temu

Někdy pár dní zpět na sociálních sítích zaznělo: “Vzhledem k tomu, kolik toho ta jejich apka chce, mi do mobilu nesmí. Jsem přesvědčenej, že mají prachy od čínský vlady a netuším, proč to neřeší NUKIB, když řešil min agresivni TikTok”

Bylo to v reakce na Temu (Temu. Nakupujte jako miliardář hlouposti za dolar), ale je to poměrně rozšířená představa. Mylná, hned na začátek tohoto tipu nutno dodat. Ale nelze se tomu moc divit.

Je to hodně živené i analýzou We believe PDD is a Dying Fraudulent Company and its Shopping App TEMU is Cleverly Hidden Spyware that Poses an Urgent Security Threat to U.S. National Interests, která je taková směs reality a strašení. Ale hlavně místy nezdůraznění, že stejné nepravosti jako může dělat Temu, mohou dělat ostatní. A také, že je zpravidla dělají.

Samozřejmě že Temu je a kdykoliv může být čínský trojský kůň a spyware ve vašem mobilu, stejně jako TikTok. Ale také stejně jako Twitter (nové X), Facebook, Instagram a jakákoliv další aplikace. Ty poslední jmenované, „západní“, možná mají více zábran nechovat se podle pravidel. A možná na ně existují lepší páky. Ale s jídlem roste chuť a pokud jakákoliv nepravost má ekonomický přínos, tak zvítězí chtíč.

Mimochodem je dost velký rozdíl mezi aplikacemi na Android a na iPhone/iPad. Takže na Androidu zcela jistě Temu (a opět zdůrazním. že i všichni ostatní) může dělat daleko více nepravostí než na iPhone. Na Androidu je navíc zásadní fragmentace a řada možných chyb a děr zanesených různými výrobci.

TIP: Jak to s tím Tiktokem se tu už také řešilo. V Dá se, s ohledem na nedávné varování NÚKIB, používat TikTok bezpečně? coby reakci na varování NÚKIBu.

Ale pojďme zpět k Temu a dalším aplikacím.

Bezcenný přehled v obchodech s aplikacemi

Především. V Google a Apple zavedli takový ten přehled co za údaje aplikace chtějí, používají a co s nimi dělají. Řeč je o tom v Jak je s to údaji o ochraně soukromí (‘Nutrition Label’) u aplikací v App Store od Apple? (totéž má i Google a funguje to stejně). Apple se s tím (jako obvykle) podařilo PR majstrštyk a lidé uvěřili že to k něčemu je. Takže se pravidelně ohánějí s tím, že nějaká aplikace tam má víc věcí než jiná. 

Ve skutečnosti jde jen o seznam, který aplikace zaškrtne dle vlastní chutí. Nikdo dodržování nekontroluje, ani vlastně nemá jak. Což v praxi například znamená, že Facebook, Twitter či Instagram z toho pohledu jsou daleko zvědavější než Temu. Facebook zejména, protože ten tam prostě zaškrtl prakticky všechno.

Hlavní ale je, jak už bylo řečeno, je to jen seznam. Nic neomezuje, nic nezajišťuje, nic nenařizuje. Pokud aplikace bude využívat (a většinou i zneužívat) cokoliv jiného než je v seznamu, není to jak zjistit. Pokud aplikace bude s osobními informace a údaji pracovat zcela jinak, opět to není jak ověřit, natož omezit.

Práva, která si aplikace vyžádá

Jediné co jakž takž dobře funguje je dílčí udělování práv k čemu má aplikace v telefonu přístup – tedy například když se zeptá zda smí přistupovat k fotkám, zda povolíte přístup k sítí a k mnoha dalším věcem. 

V počátcích toho bylo poměrně málo k povolení/zakázání a navíc případné povolení bylo často velmi široké. S postupem času (a agresivitou  aplikací) se tento druh nastavování co aplikace smí/nesmí stal přeci jenom lépe použitelným.

Jenže i tady takové Temu je daleko méně náročné a zvědavé, než nějaký ten Twitter, Facebook či Instagram. Nutno ale dodat, že existuje jedna oblíbená metoda v aplikacích jak uživatele přesvědčit aby dali práva – neříkat si o ně hned, ale až někdy v okamžiku, kdy udělení práv vypadá přirozeně. Případně jako nutnost, protože uživatel něco nebude moci udělat. Což dělá (opět nejen) Temu, kdy si o některá práva řekne na zcela nečekaných místech.

Takže například jakkoliv běžné použití Temu nevede k předání přístupu k GPS, časem si o Temu řekne a uživatelé, protože jsou prostě BFU, nejspíš vše odsouhlasí.

Jenže…

Celé je to ale občas tak jako tak k ničemu. Facebook má bohatou historii obcházení všeho co lze obejít a zneužívání všeho co zneužít šlo. Včetně bezpečnostních či jiných chyb, které umožňovaly se dostat někam kam se dostávat neměl. TikTok mimochodem také, ale vlastně tak nějak většinou kopíroval to co dělal Facebook. Ale i tam byla občas vynalézavost nesmírná.

A mimochodem, k té stížnosti na počátku tipu. Temu je daleko méně agresivní než TikTok. A také daleko méně agresivní než Facebook, Instagram, Twitter a další. Ale Temu je e-shop, takže mu stejně budete muset dát telefon, kontakt, platit tam, adresu domů či do práce. Nedáte ale zpravidla práva k fotkám a videím, které Facebook a další mají už roky (pamatujete si na dobu kdy Facebook ukládal fotky, které jste ani na Facebook nakonec nedali?). Nedáte ani přístup k GPS, takže ho nebude mít.

Stejně tak se budou sociální sítě dožadovat přístupu ke kontaktům. LinkedIn má bohatou historii zneužívání kontaktů, Facebook zase hlad po obsahu vašich SMS a toho kdy jste si s kým volali. A i tady to je takové trochu sociální inženýrství. „Dejte nám přístup abychom vám pomohli najít vaše přátele na naší sítí“ totiž zní jako zásadní důvod. Ve skutečnosti ale vaše kontakty chtějí pro všechno nekalé co jenom mohou vymyslet.

Nic z toho by v zásadě neměl řešit NÚKIB, ale Úřad na ochranu osobních údajů. Mohl by se poučit v Německu nebo ve Francii, protože tamní úřad soustředěným tlakem a  hrozbou obrovských pokut přiměl výše zmíněné (a další) giganty k řadě změn k lepšímu. 

Kdo by to také rozhodně měl řešit je Apple a Google. Což se, mimochodem, u Google také dělo. Pinduoduo si před rokem vysloužili zákaz v Google Play (Google suspends China’s Pinduoduo app on security concerns) právě tak nějak z výše uvedených důvodů. Spojitost s Temu je ta, že Temu patří PDD, stejně tak jako Pinduoduo. Čínský e-commerce gigant co už stihl sesadit z trůn Alibabu.

Jak se vyhnout zvědavým aplikacím?

Jak zaznělo výše, nedávejte jim práva (přístup) k tomu co nechcete dávat. Některé aplikace to přijmou a fungují, některé nebude možné používat, protože na tom budou trvat. Ale tak jako tak, máte další možnost.

Prakticky vše co má aplikaci má i webovou podobu. Temu samozřejmě také, takže i tam můžete nakupovat bez “hrozby” plynoucí z mobilní appky.

Co navíc, můžete se chránit – blokování reklamy, používáním VPN, Tor Browser, dodatečné ochrany pro blokování šmírovacích skriptů. Jde to docela snadno.

• Co je to Tor a Tor Browser? K čemu je dobrý?
• Proč je praktické blokovat reklamu. A proč na to máme právo
• Jak na lepší soukromí v prohlížeči? Ghostery, NOSCRIPT, WOT a ti další

Tipy týkající se Bezpečného Internetu

Bezpečnost Čína E-shop Facebook Mobilní aplikace Šmírování Soukromí TikTok Twitter