Av Joakim Valevatn, senior prosjektleder i Teknologirådet. Innlegget ble først publisert som en kronikk på Digi.no
Hva med et overvåkningskamera på størrelse med en drue hjem i postkassen for bare 66 kroner – inklusiv frakt? Eller en smartklokke med GPS for 400 kroner? Dette er blant kuppene du kan gjøre på nettbutikken Temu.
Temu er basert i USA, og eid av det kinesiske selskapet Pinduoduo. I 2023 var Temu-appen den mest nedlastede på Apple sin App Store i USA, og den er nå på topp i norske App Store. Nye tall viser at omtrent 100 fly med varer fra Temu og fast fashion-butikken Shein tar av hver dag med produkter til hele verden.
Temus enorme vekst har flere årsaker:
- Lave priser og subsidiert frakt: Forbrukerne handler direkte fra fabrikker i Kina, og slipper prispåslaget fra norske importører. Frakten er også billig, fordi Kina regnes som et utviklingsland i Verdenspostunionen, og Posten Norge må ta mye av regningen. NHO mener dette bidrar til skjeve konkurransevilkår for norske butikker. Undersøkelser tyder på også på at Temu taper opp mot 40 prosent av prisen per salg.
- KI vet hva du vil ha: Utvalget er enormt, og Temu er dyktig til å bruke kunstig intelligens (KI) for å anbefale varer du trolig vil like.
- Troverdig og enkel handel: KI bidrar til langt bedre oversettelser enn hva vi tidligere har sett fra kinesiske nettbutikker. Akseptabelt språk, frakt med Posten og betaling via Vipps gjør at brukeropplevelsen føles trygg og enkel.
- Det har blitt gøy å shoppe billig: Voldsomme salg, spill og underholdning blandes sammen. Denne krysningen mellom underholdning og shopping har vært en trend i Kina de siste årene, med TaoBao som den ledende aktøren.
Utfordringer med sikkerheten i produktene
Det italienske forbrukerrådet har testet 28 produkter fra Temu og fant feil i de aller fleste. 10 av produktene ble ansett for å være farlige, for eksempel en sykkelhjelm som hadde løse deler. I tillegg er bedriften anklaget for å selge produkter fra fabrikker som bruker slavearbeid. Det norske Forbrukerrådet advarer særlig mot å kjøpe ting som skal være i kontakt med kroppen, samt elektronikk som kan være brannfarlig.
På toppen av det hele kommer bekymringer om internett-sikkerhet. Temu har kommet i søkelyset grunnet beskyldninger om spionvare. Appen fra eierselskapet Pinduoduo ble fjernet fra Google sin app-butikk etter at det ble oppdaget at den utnyttet sårbarheter i Android-operativsystemet for å ta kontroll over enheter. Tilsvarende skadevare har ikke blitt oppdaget i Temu-appen, men som med de fleste andre apper man installerer på telefonen, vil den be om tilgang til mye informasjon.
Risikable smarthus-produkter
Temu har et overraskende stort tilbud av smarthus-produkter til lave priser. Smarthus-produkter har sensorer, er koblet til internett og styres ofte ved hjelp av en app på telefonen. Produktene kan samle inn mye informasjon om brukerne, og bidra til svekket internettsikkerhet og dårlig personvern, noe Teknologirådet nylig har gitt ut en rapport om.
Utvalget av overvåkningskameraer er særlig oppsiktsvekkende. For kun 66 kroner (inkludert porto), kan man kjøpe et WiFi-kamera på størrelse med en drue, som åpenbart er laget for å drive med skjult overvåking. Den lave prisen og enkle tilgjengeligheten kan man lett tenke seg kan føre til mye uheldig bruk. I tillegg selges en rekke produkter som kan ha betydning for sikkerheten, slik som innbruddsalarmer og dørlåser som åpnes ved hjelp av en app, fingeravtrykk eller ansiktsgjenkjenning.
Smarthus-apper samler masse informasjon fra telefonen
I tillegg til at selve produktene kan ha svak internett-sikkerhet, kan også appene bidra til sikkerhetshull på telefonen. Teknologirådet har undersøkt* noen av appene som tilhører smarthus-produktene fra Temu. Her kan vi se at appene ber om tilgang til svært mye informasjon på telefonen, og kommuniserer med skytjenester i Kina.
Ett eksempel er appen «X Smart Home» som brukes til å styre en dørklokke med video. Den kommuniserer med en rekke kinesiske, amerikanske og franske nettadresser, og ber om tilgang til følgende informasjon på telefonen:
- Hvor brukeren befinner seg
- Bilder og video som er lagret på telefonen
- Hva som står i kalenderen
- Mikrofon og lyd
- Hvilke Bluetooth-enheter som er i nærheten
- Hvilket telefonnummer enheten har, og hvilke samtaler som foretas med enheten
At apper får tilgang til mye informasjon fra telefonen er ikke uvanlig, og er generelt en stor utfordring. Men det er særlig mistenkelig når tilgangene ikke står i forhold til hva som skal til for å få produktet til å fungere, og appene fra Temu-dingsene skiller seg negativt ut i forhold til hva som ellers er vanlig.
* Undersøkelsen ble foretatt 17. april 2024, ved hjelp av verktøyet MobSF. Vi har analysert Android-versjonen av appen.
Europeisk regulering kan bremse ned for Temu
Den nye loven «Cyber Resilience Act» er nylig vedtatt i EU. Denne loven vil omfatte alle internett-tilkoblede produkter som selges i eller til EU/EØS-området. Reguleringen innebærer blant annet at produktene skal etterleve strenge sikkerhetskrav og være CE-merket. I tillegg må produktene få løpende sikkerhetsoppdateringer, og kunne holdes sikre i 10 år etter at de er solgt. Produktene skal også risikovurderes, og ha tilpasset sikkerhet etter risikonivå. Loven forventes å tre i kraft i løpet av 2024, og kan håndheves etter tre år. Radioutstyrsdirektivet trer i kraft allerede fra 1. august 2024, og innebærer også styrkede krav til sikkerheten i smarthus-produkter.
En annen lov som kan få konsekvenser for Temu er den nye EU-loven for digitale selskaper – Digital Services Act. Loven stiller ekstra strenge krav til digitale selskaper med flere enn 45 millioner brukere i EU. Siden lanseringen i 2023, har antallet Temu-brukere vokst til 75 millioner i Europa. Dersom Temu blir underlagt loven, kan det innebære begrensninger for manipulerende salgsmetoder, slik som lotterier, og at salg av farlige eller kopierte produkter bli strengere regulert.
I mellomtiden kan det være fornuftig å tenke gjennom én gang til om nytten av den billige elektroniske dørlåsen er verdt risikoen.
