Google práská bičem na všechny společnosti, které porušují jeho pravidla ochrany soukromí a reklamních podvodů. Cheetah … Mobile, který prostřednictvím podnikání Googlu dosahuje čtvrtiny svých příjmů, pociťuje bolest. (Foto: Jaap Arriens/NurPhoto via Getty Images)
NurPhoto via Getty Images
V únoru Google vyhodil ze svého obchodu Play 600 aplikací. Mezi nimi byla i aplikace Clean Master, bezpečnostní nástroj slibující antivirovou ochranu a soukromé prohlížení. Než byla vyřazena, měla více než 1 miliardu instalací a navzdory zákazu Googlu je jednou z nejstahovanějších aplikací pro Android vůbec a pravděpodobně stále běží na milionech telefonů.
Ačkoli se Google nevyjádřil k tomu, co o aplikaci vytvořené čínskou společností Cheetah Mobile věděl, Forbes zjistil, že bezpečnostní společnost poskytla technologickému gigantu důkazy, že nástroj shromažďuje nejrůznější soukromá data o používání webu.
Ty podle výzkumníka bezpečnostní společnosti, který informace poskytl i časopisu Forbes, zahrnují informace o tom, které webové stránky uživatelé navštěvovali ze „soukromého“ prohlížeče v aplikaci, jejich dotazy ve vyhledávačích a názvy přístupových bodů Wi-Fi, až po podrobnější informace, jako je způsob rolování na navštívených webových stránkách.
Cheetah, veřejná společnost, jejímž významným investorem je čínský technologický gigant Tencent, tvrdí, že potřebuje monitorovat uživatele, aby je ochránila a nabídla jim užitečné služby.
Výzkum, který provedl Gabi Cirlig, výzkumník společnosti White Ops zabývající se kybernetickou bezpečností, však přichází po předchozích obviněních z možných problémů s ochranou soukromí u aplikací Cheetah. V roce 2018 společnost Google vyřadila její aplikaci CM File Manager ze svého obchodu s aplikacemi kvůli porušování zásad týkajících se reklamních podvodů. (Společnost Cheetah tehdy v reakci na zprávu serveru Buzzfeed News popřela, že by měla možnost falešně nárokovat kliknutí na reklamu za účelem zisku, jak se tvrdilo). V loňském roce společnost VPNpro varovala před možnými „nebezpečnými“ oprávněními vyžadovanými zařízeními, jako je možnost instalovat aplikace.
Cheetah Mobile’s Clean Master byla jednou z nejpopulárnějších aplikací pro Android vůbec. Byla však … zakázána v obchodě Google Play a výzkumníci varují před jejím sledováním webové aktivity uživatelů.
White Ops
Podle Cirliga to není jen Clean Master, kdo sleduje webovou aktivitu uživatelů. Totéž podle Cirliga dělají tři další produkty společnosti Cheetah – CM Browser, CM Launcher a Security Master – s počtem stovek milionů stažení. Než se o svůj výzkum podělil s časopisem Forbes, zkoumal tyto aplikace v loňském roce, aby toto chování odhalil. Zjistil, že Cheetah shromažďuje informace ze zařízení, šifruje je a odesílá na webový server – ksmobilecom. Reverzním inženýrstvím tohoto šifrovacího procesu byl schopen zjistit, jaká data se z telefonů uživatelů sbírají.
„Technicky vzato mají zásady ochrany osobních údajů, které pokrývají tak nějak všechno a dávají jim bianko šek na exfiltraci všeho,“ říká Cirlig. „Nemohu s jistotou vědět, co porušují. Jde jen o to, že si hrají v šedé zóně a je na výzkumnících, jako jsme my, aby se postavili a volali faul, kdykoli si myslí, že překračují hranici. Já osobně si myslím, že hranici překračují.“
Reakce společnosti Cheetah
Cheetah tvrdí, že shromažďuje údaje o webovém provozu a další údaje uživatelů, ale dělá to převážně z bezpečnostních důvodů. Například sleduje prohlížení internetu, aby se ujistila, že stránky, které uživatelé navštěvují, nejsou nebezpečné. Dělá to také proto, aby mohla poskytovat určité služby, jako je navrhování posledních trendových vyhledávání.
Co se týče přístupu k názvům sítí Wi-Fi, Cheetah pro Forbes uvedl, že důvody jsou v podstatě stejné: zabránit uživatelům připojit se ke škodlivým sítím Wi-Fi. „Neshromažďujeme data za účelem sledování soukromí uživatelů a nemáme to ani v úmyslu,“ uvedl mluvčí.
Společnost tvrdí, že dodržuje všechny místní zákony o ochraně osobních údajů, neprodává soukromá data uživatelů a neposílá informace zpět na čínský server, ale do systému Amazon Web Services mimo zemi. Cirlig však upozornil, že doména, kam byly informace předávány, byla registrována v Číně. A samotný Cheetah sídlí v Pekingu.
„Žádný dobrý důvod ke shromažďování údajů“
Dva nezávislí bezpečnostní výzkumníci a Cirlig tvrdí, že existují mnohem bezpečnější způsoby, jak informace shromažďovat. V případě webových stránek a hotspotů Wi-Fi by mohli informace přeměnit na „hashe“ – kousky náhodných písmen a čísel, které představují webové stránky. Stroje je mohou číst a porovnávat s databázemi hashů dříve označených škodlivých webových stránek nebo sítí Wi-Fi, aniž by je museli prohlížet lidé. (Cheetah říká, že hashe by komplikovaly jeho bezpečnostní kontroly, protože musí dávat pozor na jemné změny v názvech Wi-Fi, například když se nula změní na „o“, nebo na dříve neznámé škodlivé stránky.)
Will Strafach, zakladatel bezpečnostní aplikace Guardian pro iOS a výzkumník problematiky soukromí chytrých telefonů, řekl, že „neexistuje žádný dobrý důvod pro shromažďování těchto informací.“
Graham Cluley, bezpečnostní analytik, který strávil velkou část své kariéry prací pro antivirové společnosti, řekl, že takové shromažďování dat je „jednoznačně znepokojující“. Existují způsoby, jak může bezpečnostní firma kontrolovat hrozby, aniž by musela shromažďovat tolik informací, které by mohly být potenciálně využity ke snížení soukromí uživatelů.“
„I když aplikace samy žádají o povolení, doufal bych, že bezpečnostní produkt vysvětlí, proč potřebuje určité údaje, a pokusí se svůj sběr dat zdůvodnit,“ dodal Cluley.
Jaký je potenciál zneužití?
Vzhledem k šíři informací, které Cheetah shromažďuje, by bylo možné deanonymizovat uživatele tím, že se projdou jeho zvyky při prohlížení webu, přístupové body Wi-Fi a identifikační čísla jeho telefonů, řekl Cirlig.
„Problém je v tom, že korelují chování uživatelů – jaké aplikace jejich publikum používá, jaké stránky si prohlíží a tak dále – s konkrétními údaji, které lze velmi snadno spojit se skutečnou osobou za tímto telefonem. . . . Takže i když chcete zabránit jakémukoli sledování, nestačí změnit telefon, ale skutečně celou infrastrukturu, kterou používáte.
„I kdyby z nějakého důvodu zlikvidovali všechny osobní údaje na straně serveru, děsivě obrovská instalační základna jim stále umožňuje využívat jejich depersonalizované údaje ve stylu Cambridge Analytica.“
Záznamy o sledování vyhledávání ve službě Google prostřednictvím nástroje CM Browser společnosti Cheetah Mobile. Cheetah tvrdí, že potřebuje … sledovat uživatele, aby mohl poskytovat užitečné funkce a bezpečnostní ochranu.
White Ops
White Ops uvedla, že o tomto chování informovala společnost Google již v prosinci. V únoru společnost Cheetah zjistila, že její účty v obchodě Google Play, AdMob a AdManager byly pozastaveny. Společnost Google neodpověděla na otázky časopisu Forbes, zda varování společnosti White Ops vedlo k zákazu společnosti Cheetah.
Společnost Cheetah, která je od května 2014 kótována na newyorské burze, se proti rozhodnutí společnosti Google odvolává a tvrdí, že s technologickým gigantem spolupracuje na řešení svých obav. Pokud nenajde cestu zpět na Google Play, zákaz jí vážně sníží příjmy. V prvních devíti měsících roku 2019 pocházela téměř čtvrtina příjmů společnosti Cheetah Mobile ze služeb poskytovaných společností Google.
.