Temu ist so beliebt wie umstritten. Nun haben Experten für Cybersicherheit herausgefunden, wo die App tatsächlich Schwächen hat – und wo die Konkurrenz schlechter abschneidet.
Temu ist der Shootingstar unter den Shopping-Apps. Keine Plattform hat die billigeren Produkte, keine wächst schneller. Doch Temu ist nicht nur für seine extrem tiefen Preise bekannt, sondern auch für seinen zweifelhaften Ruf. Konsumentenschützer etwa klagen über die minderwertige Qualität und die teilweise giftigen Inhaltsstoffe der Produkte. Andernorts heisst es, die Rabatte auf Temu seien nur möglich, weil das Unternehmen für die Lieferanten ruinöse Einkaufspreise durchsetze.
Einer der grössten Kritikpunkte betrifft die App direkt. Denn wer auf ihr einkauft, hinterlässt viele Spuren. Experten haben deshalb Bedenken in Bezug auf den Datenschutz und die Sicherheit geäussert. Sie behaupten, dass die App ihre Nutzerinnen und Nutzer ausspioniere und sich wie eine Schadsoftware verhalte.
Eine neue Untersuchung zeichnet nun ein differenzierteres Bild: Es gebe zwar Sicherheitsrisiken, diese bewegten sich aber im üblichen Rahmen von Shopping-Apps. Zu diesem Schluss kommt das Nationale Testinstitut für Cybersicherheit (NTC) in Zug. Das Prüfzentrum wird vom Kanton Zug finanziert und hat eine Partnerschaft mit dem Bundesamt für Cybersicherheit. Es hat die App eigenständig getestet.
Die App könnte versteckte Überwachungsfunktionen haben
Als hohes Risiko sieht das NTC die Fähigkeit der App, während des Betriebs neue Komponenten über das Internet nachzuladen. Damit verändert sich die Funktionsweise der App, ohne dass es zu einer Überprüfung durch den App-Store gekommen wäre. Im äussersten Fall könnten solche zusätzlichen Komponenten zur Überwachung der Nutzerinnen und Nutzer dienen. Externe Prüfer wie jene vom NTC können diese App-Komponenten kaum als solche erkennen. Allerdings sei diese Funktion des Nachladens von Komponenten nicht besonders ungewöhnlich, heisst es im Bericht des NTC, auch andere Apps täten dies.
Ebenfalls kritisch einzuschätzen ist laut NTC, dass die App gewisse Informationen zusätzlich verschlüsselt, bevor sie diese an die Temu-Server schickt. Temu könnte so verschleiern wollen, welche Daten die App sammelt. Das können Informationen zum Nutzungsverhalten oder über die Person selbst sein. Immerhin konnte das NTC nicht beobachten, dass die Temu-App die genauen Standortdaten des Smartphones sammelt. Dazu fehle ihr die Berechtigung.
Das Verhalten der App abschliessend zu beurteilen, ist allerdings schwierig. Das geben die Prüfer des NTC in ihrem Bericht auch selbst zu. Sie haben nämlich Hinweise darauf entdeckt, dass die Temu-App herauszufinden versucht, ob sie in einer Testumgebung läuft. In diesem Fall könnte eine Art «Prüfstandmodus» bestimmte Verhaltensweisen der App verbergen.
Damit kann das NTC nicht ausschliessen, dass die Temu-App versteckte Überwachungsfunktionen enthalten könnte, die unter gewissen Bedingungen – an einem bestimmten Ort oder zu einem bestimmten Zeitpunkt – nachgeladen oder aktiviert würden. Dieses Problem besteht bei solchen Überprüfungen immer: Finden die Experten keine schädlichen Funktionen, ist das noch kein Beweis dafür, dass es sie nicht gibt.
Heftige Vorwürfe von einer amerikanischen Firma
Hinter Temu steht PDD Holdings, der grösste Onlinehändler Chinas, der dort seit knapp zehn Jahren die Shopping-Plattform Pinduoduo betreibt. Im April 2023 haben Spezialisten der finnischen IT-Sicherheits-Firma Withsecure im Auftrag von CNN herausgefunden, dass Pinduoduo seine Nutzerinnen und Nutzer ausspioniert. Die App könne deren Aktivitäten in anderen Apps überwachen, Benachrichtigungen überprüfen und private Nachrichten lesen. Nachdem das bekanntgeworden war, hat Google die App aus seinem Android-Store genommen und die Nutzer aufgefordert, sie zu deinstallieren.
Wenige Monate später folgte eine ähnliche Untersuchung von Temu. Das in den USA ansässige Unternehmen Grizzly Research kam in einem Bericht von September 2023 zu dem Schluss, dass die App «ein Risiko für die nationale Sicherheit» darstelle. Temu verschaffe sich Zugriff auf das Betriebssystem des Smartphones einschliesslich der Kamera, des Standorts sowie Kontakten, Nachrichten und Dokumenten. Diese Zugänge nutzt Temu angeblich, um sensitive Nutzerdaten zu sammeln und diese an Dritte weiterzuverkaufen. Auch bestehe der Verdacht, dass Temu die Daten mit der chinesischen Regierung teile.
Grizzly Research hat eigene Interessen
Der Grizzly-Bericht wird seither immer wieder zitiert, wenn es um die Sicherheit der Temu-App geht. Im Juni dieses Jahres hat der Generalstaatsanwalt des amerikanischen Gliedstaats Arkansas auf Basis der Grizzly-Untersuchungen eine Klage eingereicht. Der Anwalt behauptet darin, der Zweck von Temu sei einzig, sich Zugang zu möglichst vielen Nutzerdaten zu verschaffen. Mit einer einstweiligen Verfügung will er Temu stoppen.
Doch Grizzly Research ist keine unabhängige Institution, wie der Name suggeriert. Es handelt sich um eine Investmentfirma, die auf steigende oder fallende Kurse von Unternehmen spekuliert. Das legt Grizzly Research auf ihrer Website sogar offen, wo es heisst, man sei als Leerverkäufer voreingenommen: «Bei Veröffentlichung unserer Berichte haben wir und unsere Partner möglicherweise Long- oder Short-Positionen in den von uns analysierten Unternehmen.»
Die Prüfer des Schweizer NTC gehen denn auch auf den Bericht von Grizzly Research ein und verweisen darauf, dass es sich dabei nicht um eine neutrale Prüfung gehandelt habe. Das NTC bezeichnet gleich mehrere Vorwürfe von Grizzly Research als zumindest übertrieben oder sogar falsch. So seien gewisse Spionage-Funktionalitäten, welche die Temu-App haben soll, technisch gar nicht möglich.
Amazon-App ist schlimmer als Temu
Der Bericht des NTC deckt keine gravierenden Mängel oder offensichtlichen Sicherheitslücken auf. Und bei den Berechtigungen, welche sie auf dem Smartphone verlangt, schneidet die Temu-App sogar besser ab als die Konkurrenten Aliexpress, Shein und auch Amazon.
Das bedeutet jedoch nicht, dass die Nutzung der Temu-App ohne Risiko ist. Das NTC rät dazu, «den Einsatz der Temu-App kritisch zu hinterfragen». So kann die Installation auf dem Diensthandy der Firma oder einer Behörde ein Risiko sein. Auch besonders exponierte Personen wie Führungspersonen in Wirtschaft und Politik sollten vorsichtig sein. Eine entsprechende Warnung hat das NTC bereits für Tiktok formuliert.
Wer auf Temu nicht verzichten möchte, aber Bedenken hat, kann sich an den Hinweis des NTC halten: Wer nicht die App installiert, sondern den Shopping-Dienst über den Internetbrowser des Smartphones aufruft, reduziere die Risiken. Insbesondere die Möglichkeiten zur permanenten Überwachung der Nutzerinnen und Nutzer sind dann geringer.
