SIKKERHET

Temu selger elektronikk som kan overvåke og spionere

Nettbutikken Temu har hatt enorm vekst og er nå den mest nedlastede appen i Norge. Blant klær og nips gjemmer det seg trusler mot nettsikkerheten.

Det er fornuftig å tenke gjennom én gang til om nytten av den billige elektroniske dørlåsen er verdt risikoen, skriver Joakim Valevatn i Teknologirådet.
Det er fornuftig å tenke gjennom én gang til om nytten av den billige elektroniske dørlåsen er verdt risikoen, skriver Joakim Valevatn i Teknologirådet. Foto: Teknologirådet
Joakim Valevatn, senior prosjektleder i Teknologirådet
30. apr. 2024 - 13:03

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Hva med et overvåkningskamera på størrelse med en drue hjem i postkassen for bare 66 kroner – inklusiv frakt? Eller en smartklokke med GPS for 400 kroner? Dette er blant kuppene du kan gjøre på nettbutikken Temu. 

Temu er basert i USA og eid av det kinesiske selskapet Pinduoduo. I 2023 var Temu-appen den mest nedlastede på Apples App Store i USA, og den er nå på topp i norske App Store. Nye tall viser at omtrent 100 fly med varer fra Temu og fast fashion-butikken Shein tar av hver dag med produkter til hele verden. 

Temus enorme vekst har flere årsaker: 

  1. Lave priser og subsidiert frakt: Forbrukerne handler direkte fra fabrikker i Kina og slipper prispåslaget fra norske importører. Frakten er også billig, fordi Kina regnes som et utviklingsland i Verdenspostunionen, og Posten Norge må ta mye av regningen. NHO mener dette bidrar til skjeve konkurransevilkår for norske butikker. Undersøkelser tyder på også på at Temu taper opp mot 40 prosent av prisen per salg.
  2. KI vet hva du vil ha: Utvalget er enormt, og Temu er dyktig til å bruke kunstig intelligens (KI) for å anbefale varer du trolig vil like.
  3. Troverdig og enkel handel: KI bidrar til langt bedre oversettelser enn hva vi tidligere har sett fra kinesiske nettbutikker. Akseptabelt språk, frakt med Posten og betaling via Vipps gjør at brukeropplevelsen føles trygg og enkel.
  4. Det har blitt gøy å shoppe billig: Voldsomme salg, spill og underholdning blandes sammen. Denne krysningen mellom underholdning og shopping har vært en trend i Kina de siste årene, med TaoBao som den ledende aktøren.

Utfordringer med sikkerheten

Det italienske forbrukerrådet har testet 28 produkter fra Temu og fant feil i de aller fleste. Ti av produktene ble ansett for å være farlige, for eksempel en sykkelhjelm som hadde løse deler. I tillegg er bedriften anklaget for å selge produkter fra fabrikker som bruker slavearbeid. Det norske Forbrukerrådet advarer særlig mot å kjøpe ting som skal være i kontakt med kroppen, samt elektronikk som kan være brannfarlig.

På toppen av det hele kommer bekymringer om internett-sikkerhet. Temu har kommet i søkelyset grunnet beskyldninger om spionvare. Appen fra eierselskapet Pinduoduo ble fjernet fra Googles app-butikk etter at det ble oppdaget at den utnyttet sårbarheter i Android-operativsystemet til å ta kontroll over enheter. Tilsvarende skadevare har ikke blitt oppdaget i Temu-appen, men som med de fleste andre apper man installerer på telefonen, vil den be om tilgang til mye informasjon.

Risikable smarthus-produkter

Temu har et overraskende stort tilbud av smarthus-produkter til lave priser. Smarthus-produkter har sensorer, er koblet til internett og styres ofte ved hjelp av en app på telefonen. Produktene kan samle inn mye informasjon om brukerne og bidra til svekket internettsikkerhet og dårlig personvern, noe Teknologirådet nylig har gitt ut en rapport om.

Utvalget av overvåkningskameraer er særlig oppsiktsvekkende. For kun 66 kroner (inkludert porto), kan man kjøpe et wifi-kamera på størrelse med en drue, som åpenbart er laget for å drive med skjult overvåking. Den lave prisen og enkle tilgjengeligheten kan man lett tenke seg at kan føre til mye uheldig bruk.

Temu-annonse for druestort, trådløst kamera. <i>Skjermbilde:  Temu</i>
Temu-annonse for druestort, trådløst kamera. Skjermbilde:  Temu

I tillegg selges en rekke produkter som kan ha betydning for sikkerheten, som innbruddsalarmer og dørlåser som åpnes ved hjelp av en app, fingeravtrykk eller ansiktsgjenkjenning.

Samler masse informasjon

I tillegg til at selve produktene kan ha svak internett-sikkerhet, kan også appene bidra til sikkerhetshull på telefonen. Teknologirådet har undersøkt* noen av appene som tilhører smarthus-produktene fra Temu. Her kan vi se at appene ber om tilgang til svært mye informasjon på telefonen, og de kommuniserer med skytjenester i Kina.

* Undersøkelsen ble foretatt 17. april 2024, ved hjelp av verktøyet MobSF. Vi har analysert Android-versjonen av appen.

Ett eksempel er appen X Smart Home som brukes til å styre en dørklokke med video. Den kommuniserer med en rekke kinesiske, amerikanske og franske nettadresser og ber om tilgang til følgende informasjon på telefonen:

  • Hvor brukeren befinner seg
  • Bilder og video som er lagret på telefonen
  • Hva som står i kalenderen
  • Mikrofon og lyd
  • Hvilke Bluetooth-enheter som er i nærheten
  • Hvilket telefonnummer enheten har og hvilke samtaler som foretas med enheten

At apper får tilgang til mye informasjon fra telefonen er ikke uvanlig, og det er generelt en stor utfordring. Men det er særlig mistenkelig når tilgangene ikke står i forhold til hva som skal til for å få produktet til å fungere, og appene fra Temu-dingsene skiller seg negativt ut sammenlignet med hva som ellers er vanlig.

Europeisk regulering kan bli brems

Den nye loven Cyber Resilience Act er nylig vedtatt i EU. Denne loven vil omfatte alle internett-tilkoblede produkter som selges i eller til EU/EØS-området. Reguleringen innebærer blant annet at produktene skal etterleve strenge sikkerhetskrav og være CE-merket. I tillegg må produktene få løpende sikkerhetsoppdateringer og kunne holdes sikre i ti år etter at de er solgt. Produktene skal også risikovurderes, og ha tilpasset sikkerhet etter risikonivå. Loven forventes å tre i kraft i løpet av 2024 og kan håndheves etter tre år. Radioutstyrsdirektivet trer i kraft allerede fra 1. august 2024 og innebærer også styrkede krav til sikkerheten i smarthus-produkter.

En annen lov som kan få konsekvenser for Temu, er den nye EU-loven for digitale selskaper – Digital Services Act. Loven stiller ekstra strenge krav til digitale selskaper med mer enn 45 millioner brukere i EU. Siden lanseringen i 2023 har antallet Temu-brukere vokst til 75 millioner i Europa. Dersom Temu blir underlagt loven, kan det innebære begrensninger for manipulerende salgsmetoder, som lotterier, og at salg av farlige eller kopierte produkter bli strengere regulert.

I mellomtiden kan det være fornuftig å tenke gjennom én gang til om nytten av den billige elektroniske dørlåsen er verdt risikoen.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.