Google is cracking the whip with any companies breaking its privacy and ad fraud rules. Cheetah … Mobile, joka tekee neljänneksen liikevaihdostaan Google-liiketoiminnan kautta, tuntee kipua. (Kuva: Jaap Arriens/NurPhoto via Getty Images)
NurPhoto via Getty Images
Helmikuussa Google heitti 600 sovellusta ulos Play-kaupastaan. Niiden joukossa oli Clean Master -niminen sovellus, tietoturvatyökalu, joka lupasi virustorjuntaa ja yksityistä selausta. Sillä oli yli miljardi asennusta ennen kuin se häädettiin, ja Googlen kiellosta huolimatta se on yksi Androidin kaikkien aikojen ladatuimmista sovelluksista, ja se on todennäköisesti edelleen käytössä miljoonissa puhelimissa.
Vaikka Google ei ole kommentoinut, mitä se tiesi sovelluksesta, jonka on luonut kiinalainen Cheetah Mobile, Forbes on saanut tietoonsa, että tietoturvayhtiö toimitti teknologiajätille todisteita siitä, että työkalu keräsi kaikenlaista yksityistä verkonkäyttötilannetta.
Tämä sisältää muun muassa sen, millä verkkosivustoilla käyttäjät vierailivat sovelluksen sisäisestä ”yksityisestä” selaimesta, heidän hakukoneidensa kyselyistä ja Wi-Fi-yhteyspisteidensä nimistä aina yksityiskohtaisempiin tietoihin, kuten siihen, miten he selasivat vierailtuja verkkosivuja, kertoo tietoturvayhtiön tutkija, joka toimitti tiedot myös Forbesille.
Cheetah, pörssiyhtiö, jonka suurimpana sijoittajana on kiinalainen teknologiajätti Tencent, sanoo, että sen on seurattava käyttäjiä pitääkseen heidät turvassa ja tarjotakseen heille hyödyllisiä palveluita.
Mutta kyberturvayhtiö White Opsissa työskentelevän tutkijan Gabi Cirligin tekemä tutkimus tulee aiempien väitteiden jälkeen, joissa on esitetty väitteitä mahdollisista yksityisyyden suojaan liittyvistä ongelmista, jotka liittyvät Cheetahin sovelluksiin. Vuonna 2018 Google potkaisi sen CM File Manager -sovelluksen pois sovelluskaupastaan, koska se rikkoi mainospetoksia koskevia käytäntöjään. (Tuolloin vastauksena Buzzfeed Newsin raporttiin Cheetah kiisti, että sillä oli kyky väittää virheellisesti mainosklikkauksia voiton saamiseksi, kuten väitettiin). Viime vuonna VPNpro varoitti laitteiden mahdollisesti vaatimista ”vaarallisista” käyttöoikeuksista, kuten kyvystä asentaa sovelluksia.
Cheetah Mobilen Clean Master oli yksi kaikkien aikojen suosituimmista Android-sovelluksista. Mutta se on … kielletty Google Play -kaupasta, ja tutkijat varoittavat sen käyttäjien verkkotoiminnan tarkkailusta.
White Ops
Cirligin mukaan Clean Master ei ole ainoa, joka on tarkkaillut käyttäjien verkkotoimintaa. Kolme muuta Cheetah-tuotetta – CM Browser, CM Launcher ja Security Master -sovellukset, joilla on satoja miljoonia latauksia, ovat Cirligin mukaan tehneet samoin. Hän tutki sovelluksia viime vuonna havaitakseen käyttäytymisen ennen kuin hän jakoi tutkimuksensa Forbesin kanssa. Hän havaitsi, että Cheetah keräsi tietoja laitteista, salasi tiedot ja lähetti ne verkkopalvelimelle ksmobilecomille. Palauttamalla salausprosessin hän pystyi selvittämään, mitä tietoja käyttäjien puhelimista kerättiin.
”Teknisesti ottaen heillä on tietosuojakäytäntö, joka kattaa tavallaan kaiken ja antaa heille tyhjän valtakirjan kaiken salaamiseen”, Cirlig sanoo. ”En voi tietää varmasti, mitä he rikkovat. He vain pelaavat harmaalla alueella, ja meidän kaltaistemme tutkijoiden tehtävänä on nousta esiin ja vaatia rangaistusta aina, kun he katsovat, että he ylittävät rajan”. Henkilökohtaisesti olen sitä mieltä, että he ylittävät rajan.”
Cheetahin vastaus
Cheetah sanoo keräävänsä käyttäjien verkkoliikennettä ja muita tietoja, mutta tekee sen pääasiassa turvallisuussyistä. Se esimerkiksi tarkkailee internetin selailua varmistaakseen, etteivät käyttäjien vierailemat sivustot ole vaarallisia. Se tekee niin myös tarjotakseen tiettyjä palveluita, kuten ehdottaakseen viimeisimpiä trendihakuja.
WiFi-verkkojen nimien käytön osalta Cheetah kertoi Forbesille, että perustelut ovat pitkälti samat: estää käyttäjiä liittymästä haitallisiin Wi-Fi-verkkoihin. ”Emme kerää tietoja käyttäjien yksityisyyden seuraamiseksi, eikä meillä ole aikomustakaan tehdä niin”, tiedottaja sanoi.
Yhtiö sanoo, että se noudattaa kaikkia paikallisia tietosuojalakeja, ei myy käyttäjien yksityisiä tietoja eikä lähetä tietoja takaisin kiinalaiselle palvelimelle, vaan Amazon Web Services -järjestelmään maan ulkopuolella. Cirlig totesi kuitenkin, että verkkotunnus, johon tiedot välitettiin, oli rekisteröity Kiinassa. Ja Cheetah itse sijaitsee Pekingissä.
”Ei hyvää syytä kerätä tietoja”
Kaksi riippumatonta tietoturvatutkijaa ja Cirlig sanovat, että on olemassa paljon turvallisempia tapoja kerätä tietoja. Verkkosivustojen ja Wi-Fi-yhteyspisteiden osalta he voisivat muuttaa tiedot ”hasheiksi” – satunnaisista kirjaimista ja numeroista koostuviksi kokonaisuuksiksi, jotka edustavat verkkosivustoja. Koneet voivat lukea niitä ja verrata niitä tietokantoihin, joissa on aiemmin merkittyjen haitallisten verkkosivustojen tai Wi-Fi-verkkojen hasheja, ilman että ihmisten tarvitsee nähdä niitä. (Cheetah sanoo, että hashit vaikeuttaisivat sen tietoturvatarkastuksia, koska sen on tarkkailtava Wi-Fi-nimissä tapahtuvia hienovaraisia muutoksia, kuten nollan vaihtamista ”o:ksi”, tai aiemmin tuntemattomia haitallisia sivustoja.))
Will Strafach, Guardian iOS -tietoturvasovelluksen perustaja ja älypuhelinten yksityisyyskysymysten tutkija, sanoi, ettei ole ”mitään hyvää syytä kerätä näitä tietoja.”
Graham Cluley, tietoturva-analyytikko, joka on viettänyt suuren osan urastaan virustentorjuntafirmojen palveluksessa, sanoi, että tällaisten tietojen kerääminen on ”selvästi huolestuttavaa”. Tietoturvayhtiöllä on tapoja tarkistaa uhkia ilman, että sen tarvitsee kerätä niin paljon tietoja, joita voitaisiin mahdollisesti käyttää käyttäjien yksityisyyden vähentämiseen.”
”Vaikka sovellukset itse pyytäisivät lupia, toivoisin, että tietoturvatuote selittäisi, miksi se tarvitsee tiettyjä tietoja, ja yrittäisi perustella datanryöstöään”, Cluley lisäsi.”
Mitä väärinkäytösten mahdollisuus on?”.
Viitaten Cheetahin keräämien tietojen laajuuteen, olisi mahdollista poistaa käyttäjän nimettömyys tarkastelemalla hänen verkkoselailutottumuksiaan, Wi-Fi-yhteyspisteitään ja puhelimensa tunnistenumeroita, Cirlig sanoi.
”Ongelma on siinä, että he korreloivat käyttäjien käyttäytymistä – mitä sovelluksia heidän yleisönsä käyttää, mitä sivustoja he selaavat ja niin edelleen – tietyillä tiedoilla, jotka voidaan hyvin helposti yhdistää puhelimen takana olevaan todelliseen henkilöön.” Cirlig sanoi. . . Vaikka siis haluaisitkin estää kaikenlaisen seurannan, ei riitä, että vaihdat puhelimesi, vaan koko käyttämäsi infrastruktuuri on vaihdettava.
”Vaikka he jostain syystä hävittäisivät kaikki henkilökohtaiset tiedot palvelinpuolella, pelottavan suuri asennuskanta antaa heille silti mahdollisuuden hyödyntää depersonalisoituja tietojaan Cambridge Analytican tyyliin.”
Pöytäkirjat Cheetah Mobilen Google-hakujen seurannasta CM Browser -työkalun kautta. Cheetah sanoo, että sen on … seurattava käyttäjiä tarjotakseen hyödyllisiä ominaisuuksia ja turvasuojauksia.
White Ops
White Ops sanoi ilmoittaneensa Googlelle käytöksestä jo joulukuussa. Helmikuussa Cheetah huomasi, että sen Google Play Store-, AdMob- ja AdManager-tilit oli keskeytetty. Google ei ollut vastannut Forbesin kysymyksiin siitä, johtivatko White Opsin varoitukset Cheetahin käyttökieltoon.
Cheetah, joka on noteerattu New Yorkin pörssissä toukokuusta 2014 lähtien, valittaa Googlen päätöksestä ja väittää tekevänsä yhteistyötä teknologiajätin kanssa sen huolenaiheiden ratkaisemiseksi. Jos se ei löydä tietä takaisin Google Playyn, kielto tekee vakavan loven sen tuloihin. Vuoden 2019 yhdeksän ensimmäisen kuukauden aikana lähes neljännes Cheetah Mobilen liikevaihdosta tuli Googlen tarjoamista palveluista.