Arkansas heeft de makers van het e-commerceplatform Temu aangeklaagd wegens vermeende misleidende handelspraktijken. De staat beweert dat de shopping-app ‘gevaarlijke malware’ is die systeemrechten misbruikt om gebruikersgegevens te stelen. De rechtszaak roept ook veiligheidsproblemen op over de Chinese oorsprong van het platform.
Temu is malware vermomd als winkel-app, beweert de rechtszaak in Arkansas
Temu, gelanceerd in de VS in 2022, is een online winkelplatform dat eigendom is van PDD Holdings. PDD Holdings, oorspronkelijk een Chinees bedrijf, verplaatste vorig jaar zijn hoofdkantoor naar Ierland. Het bedrijf beheert ook een aparte winkel-app genaamd Pinduoduo in China, die beveiligingsonderzoekers eerder bestempelden als potentiële spyware. In maart 2023 verwijderde Google laatstgenoemde kort uit de Play Store nadat bleek dat enkele van zijn ‘off-Play-versies’ malware bevatten.
In zijn officiële klacht koppelde procureur-generaal Tim Griffin uit Arkansas de twee apps aan elkaar. Omdat Temu enkele jaren na Pinduoduo verscheen en zijn wereldwijde debuut maakte in de VS, denkt Griffin dat het is gemodelleerd naar de Chinese versie en mogelijk dezelfde beveiligingsproblemen kent. “Temu beweert een online winkelplatform te zijn, maar het is gevaarlijke malware, die zichzelf heimelijk toegang verleent tot vrijwel alle gegevens op de mobiele telefoon van een gebruiker”, begint de rechtszaak.
Vervolgens worden er ingrijpende beweringen gedaan waarin de makers van de app worden beschuldigd van het doelbewust ontwerpen ervan om de privacy-instellingen te omzeilen en onbeperkte toegang te krijgen tot onnodige gebruikersgegevens. Griffin zegt dat Temu gebruikersgegevens aan derden verkoopt om geld te verdienen, en daarmee de privacyrechten van burgers uit Arkansas schendt. De Arkansas AG wees ook op de inmiddels opgeloste zorgen van Apple over de naleving van de normen voor transparantie op het gebied van gegevensbeveiliging in de VS en Europa.
Bovendien citeert de rechtszaak van Griffin bevindingen van een onafhankelijk onderzoeksbureau dat zegt dat Temu mogelijk gebruikers kan hacken. Het aantal systeemrechten en de hoeveelheid gegevens waartoe het toegang heeft, is te hoog voor een shopping-app. Het ‘sluipt’ machtigingen om toegang te krijgen tot de locatie van de gebruiker, opgeslagen bestanden, opslagapparaat en meer, die niet essentieel zijn voor de normale werking ervan. Temu verzamelt ook gevoelige of persoonlijk identificeerbare informatie die het niet nodig heeft.
Temu’s Chinese banden vormen een bedreiging voor de veiligheid
De rechtszaak uit Arkansas tegen Temu gaat verder dan het bestempelen van de app als ‘malware’ en roept veiligheidsproblemen op over de Chinese banden van de app. Griffin zegt dat het leiderschapsteam van Temu “een kader is van voormalige functionarissen van de Chinese Communistische Partij.” Als zodanig vormt het platform een aanzienlijke veiligheidsdreiging voor Amerikaanse burgers. Deze rechtszaak beoogt een bevel dat de misleidende handelspraktijken en privacyschendingen van het platform oplegt. Het streeft ook naar civiele straffen en andere monetaire en billijke verlichting.
“Temu is geen online marktplaats zoals Amazon of Walmart. Het is een datadiefstalbedrijf dat goederen online verkoopt als middel om een doel te bereiken”, aldus Griffin in een officiële verklaring. “Hoewel het bekend staat als een e-commerceplatform, is Temu functioneel malware en spyware. Het is doelbewust ontworpen om onbeperkte toegang te krijgen tot het besturingssysteem van de telefoon van een gebruiker. Het kan de gegevensprivacy-instellingen op de apparaten van gebruikers overschrijven en genereert inkomsten uit deze ongeautoriseerde verzameling van gegevens.”
