ZUGO - “L’app Temu presenta anomalie tecniche, come il caricamento dinamico di codice e ulteriori crittografie, che rendono difficile una valutazione conclusiva. Tuttavia, non sono presenti né rischi critici per la sicurezza né prove attendibili di un’attività di sorveglianza non consentita”. Sono le conclusioni a cui è giunto l’Istituto nazionale di test per la cibersicurezza (NTC), ente che contribuisce alla sicurezza e alla sovranità digitale della Svizzera individuando preventivamente le vulnerabilità critiche e impegnandosi per la loro risoluzione.

Temu, diffusissima app di e-commerce cinese, gode di una popolarità sempre maggiore in Svizzera, annotano gli esperti dell’Istituto. “Allo stesso tempo, i rischi per la cibersicurezza di queste app sono oggetto di crescente attenzione”. Per questo, l’NTC ha effettuato un’analisi indipendente sulla sicurezza dell’app Temu, al fine di valutarne i rischi effettivi per gli utenti.

Temu e i timori per la sicurezza in rete 

L’app è gestita dalla cinese PDD Holdings Inc. ed è soggetta al diritto cinese, che è considerato inadeguato in materia di protezione dei dati dal punto di vista europeo. Imprese e autorità dovrebbero tenerne conto quando utilizzano l’app. 

Indipendenza dell’indagine

L’indagine è stata effettuata dall’NTC in maniera indipendente e senza influenze esterne. I risultati si concentrano esclusivamente su aspetti di cibersicurezza e non riguardano deliberatamente la valutazione di altri argomenti controversi, come le pratiche commerciali o la qualità dei prodotti.

Ecco il risultato e le raccomandazioni dell’Istituto. 

Anomalie tecniche insolite

L’analisi ha identificato alcune «red flags»:

Caricamento dinamico di codice in ambiente di runtime proprietario: l’app può modificare il suo comportamento in modo autonomo. Gli sviluppatori possono adattare le funzioni e i contenuti in modo flessibile senza aggiornamenti tramite l’App Store, ossia senza che l’utente debba avviare o autorizzare l’operazione.

Livelli aggiuntivi di crittografia: benché da un lato possano incrementare la protezione dei dati, dall’altro potrebbero potenzialmente essere utilizzati per nascondere trasmissioni di dati indesiderate.

Queste caratteristiche non sono necessariamente dannose, ma ostacolano tuttavia una valutazione completa.

Altri rischi per la sicurezza, in prevalenza non preoccupanti 

L’analisi rileva inoltre che, per il resto, nell’app Temu non si riscontrano altri rischi di sicurezza chiaramente critici né prove di attività di sorveglianza non consentite. Le autorizzazioni e il comportamento dell’app sono ampiamente conformi agli standard delle applicazioni di e-commerce. Rispetto ad altre applicazioni simili, Temu richiede autorizzazioni meno problematiche e in numero minore.

Raccomandazioni dell’NTC

Sebbene l'analisi non abbia trovato prove concrete di attività dannose, l'NTC raccomanda che l'uso dell'app Temu - come di tutte le app con autorizzazioni di ampia portata - sia messo in discussione in modo critico, soprattutto in un contesto aziendale e governativo. Gli utenti e le utenti dovrebbero adottare le seguenti precauzioni:

Concedere all’app solo le autorizzazioni strettamente necessarie.

Assicurarsi di eseguire aggiornamenti periodici del sistema operativo.

Prendere in considerazione un utilizzo alternativo tramite un browser mobile per ridurre la superficie di attacco.