A Google az adatvédelmi és reklámcsalási szabályait megsértő cégek ellen lép fel. Cheetah … A mobil, amely bevételeinek negyedét a Google-üzleten keresztül szerzi, érzi a fájdalmat. (Photo by Jaap Arriens/NurPhoto via Getty Images)
NurPhoto via Getty Images
Februárban a Google 600 alkalmazást dobott ki a Play áruházából. Ezek között volt egy Clean Master nevű alkalmazás, egy vírusvédelmet és privát böngészést ígérő biztonsági eszköz. Több mint 1 milliárd telepítéssel rendelkezett, mielőtt kilakoltatták, és a Google tiltása ellenére a valaha volt egyik legtöbbet letöltött Android-alkalmazás, amely valószínűleg még mindig több millió telefonon fut.
Míg a Google nem kommentálta, hogy mit tudott a kínai Cheetah Mobile által készített alkalmazásról, a Forbes megtudta, hogy egy biztonsági cég bizonyítékot szolgáltatott a technológiai óriásnak arra, hogy az eszköz mindenféle privát webhasználati adatot gyűjtött.
A biztonsági cég kutatója szerint, aki a Forbesnak is átadta az információkat, ezek közé tartozik, hogy a felhasználók milyen weboldalakat látogattak meg az alkalmazáson belüli “privát” böngészőből, a keresőkérdéseik és a Wi-Fi hozzáférési pontok nevei, egészen olyan részletesebb információkig, mint például az, hogy hogyan görgetnek a meglátogatott weboldalakon.
A kínai technológiai óriáscéget, a Tencentet fő befektetőjeként számon tartó állami vállalat, a Cheetah azt állítja, hogy a felhasználók biztonsága és a számukra hasznos szolgáltatások nyújtása érdekében szükség van a felhasználók megfigyelésére.
A kutatás, amelyet Gabi Cirlig, a White Ops kiberbiztonsági vállalat kutatója végzett, a Cheetah alkalmazásainak lehetséges adatvédelmi problémáiról szóló korábbi állítások után készült. 2018-ban a Google kirúgta CM File Manager alkalmazását az alkalmazásboltjából, mivel megsértette a hirdetési csalásokra vonatkozó irányelveit. (Akkoriban a Buzzfeed News jelentésére reagálva a Cheetah tagadta, hogy képes lett volna a reklámkattintásokat hamisan igényelni a profit érdekében, ahogyan azt állították). Tavaly a VPNpro figyelmeztetett az eszközök által megkövetelt, esetleg “veszélyes” engedélyekre, például az alkalmazások telepítésének lehetőségére.
A Cheetah Mobile Clean Master az egyik legnépszerűbb Android-alkalmazás volt. De már … kitiltották a Google Play áruházból, és kutatók figyelmeztetnek a felhasználók webes tevékenységének megfigyelésére.
White Ops
A Cirlig szerint nem csak a Clean Master figyeli a felhasználók webes tevékenységét. Három másik Cheetah termék – a CM Browser, a CM Launcher és a Security Master – több százmilliós letöltési számmal rendelkező alkalmazások ugyanezt tették Cirlig szerint. Tavaly szondázta az alkalmazásokat, hogy felfedezze a viselkedést, mielőtt megosztotta kutatását a Forbes-szal. Megállapította, hogy a Cheetah összegyűjtötte az információkat az eszközökről, titkosította az adatokat és elküldte egy webszerverre – a ksmobilecom-ra. A titkosítási folyamat visszafejtésével meg tudta határozni, hogy milyen adatokat gyűjtöttek a felhasználók telefonjairól.
“Gyakorlatilag van egy adatvédelmi szabályzatuk, amely szinte mindenre kiterjed, és üres csekket ad nekik, hogy mindent kiszivárogtassanak” – mondja Cirlig. “Nem tudhatom biztosan, hogy mit sértenek meg. Csak arról van szó, hogy egy szürke területen játszanak labdát, és az olyan kutatókon múlik, mint mi, hogy felálljanak és szabálytalankodjanak, amikor úgy gondolják, hogy átlépik a vonalat. Én személy szerint úgy gondolom, hogy átlépik a határt.”
Cheetah válasza
Cheetah azt mondja, hogy gyűjti a felhasználók webes forgalmát és egyéb adatait, de ezt nagyrészt biztonsági okokból teszi. Például figyelemmel kíséri az internetes böngészést, hogy megbizonyosodjon arról, hogy a felhasználók által látogatott oldalak nem veszélyesek. Mindezt azért is teszi, hogy bizonyos szolgáltatásokat nyújtson, mint például a legfrissebb trendszerű keresések felajánlása.
A Wi-Fi hálózatok nevének lekérdezésével kapcsolatban a Cheetah a Forbesnak elmondta, hogy az indoklás nagyjából ugyanaz: a felhasználók rosszindulatú Wi-Fi hálózatokhoz való csatlakozásának megakadályozása. “Nem azért gyűjtünk adatokat, hogy nyomon kövessük a felhasználók magánéletét, és nem is áll szándékunkban ezt tenni” – mondta egy szóvivő.
A vállalat azt állítja, hogy minden helyi adatvédelmi törvényt betart, nem adja el a felhasználók személyes adatait, és nem egy kínai szerverre küldi vissza az információkat, hanem az Amazon Web Services egy országon kívüli rendszerébe. Cirlig azonban megjegyezte, hogy a domain, ahová az információkat továbbították, Kínában volt bejegyezve. Maga a Cheetah pedig Pekingben székel.
“Nincs jó ok az adatgyűjtésre”
Két független biztonsági kutató és Cirlig szerint sokkal biztonságosabb módjai is vannak az információgyűjtésnek. A weboldalak és a Wi-Fi hotspotok esetében az információkat “hash-okká” alakíthatnák – véletlenszerű betűkből és számokból álló darabkákká, amelyek a weboldalakat képviselik. A gépek elolvashatják ezeket, és ellenőrizhetik az ilyen hash-okat a korábban rosszindulatúnak minősített webhelyek vagy Wi-Fi hálózatok hash-jait tartalmazó adatbázisokkal, anélkül, hogy embernek kellene megnéznie azokat. (A Cheetah szerint a hash-ek megnehezítenék a biztonsági ellenőrzéseket, mivel figyelnie kell a Wi-Fi nevek finom változásaira, például amikor a nulla “o”-ra változik, vagy a korábban ismeretlen rosszindulatú webhelyekre.)
Will Strafach, a Guardian iOS biztonsági alkalmazás alapítója és az okostelefonok adatvédelmi kérdéseinek kutatója szerint “nincs jó ok arra, hogy ilyen adatokat gyűjtsenek.”
Graham Cluley biztonsági elemző, aki karrierje nagy részét vírusirtó cégeknek dolgozva töltötte, azt mondta, hogy az ilyen adatgyűjtés “egyértelműen aggasztó”. Vannak módok arra, hogy egy biztonsági cég anélkül is ellenőrizze a fenyegetéseket, hogy ennyi információt kellene gyűjtenie, ami potenciálisan a felhasználók magánéletének csorbítására használható.”
“Még ha maguk az alkalmazások engedélyeket is kérnek, remélem, hogy egy biztonsági termék megmagyarázza, miért van szüksége bizonyos adatokra, és megpróbálja megindokolni az adatlopást” – tette hozzá Cluley.”
Mi a visszaélés lehetősége?
A Cheetah által gyűjtött információk széles skálájára utalva Cirlig szerint lehetséges lenne egy felhasználó anonimitásának megszüntetése, ha átnéznék a webböngészési szokásait, a Wi-Fi hozzáférési pontjait és a telefonjainak azonosító számait.
“A probléma az, hogy a felhasználói viselkedést – milyen alkalmazásokat használ a közönségük, milyen oldalakat böngésznek és így tovább – olyan konkrét adatokkal korrelálják, amelyek nagyon könnyen összekapcsolhatók a telefon mögött álló valós személyekkel. . . . Tehát még ha meg is akarsz akadályozni mindenféle nyomon követést, nem elég, ha megváltoztatod a telefonodat, hanem valóban az egész infrastruktúrát, amit használsz.
“Még ha valamilyen oknál fogva el is dobják az összes személyes adatot a szerveroldalon, az ijesztően hatalmas telepítési bázis akkor is lehetővé teszi számukra, hogy Cambridge Analytica-stílusban felhasználják a deperszonalizált adataikat.”
A Cheetah Mobile CM Browser eszközén keresztül végzett Google-kereséskövetés naplói. A Cheetah szerint … nyomon kell követnie a felhasználókat, hogy hasznos funkciókat és biztonsági védelmet nyújtson.”
White Ops
A White Ops elmondta, hogy már decemberben tájékoztatta a Google-t a viselkedésről. Februárban a Cheetah felfedezte, hogy a Google Play Store, az AdMob és az AdManager fiókjait felfüggesztették. A Google nem válaszolt a Forbes kérdéseire, hogy a White Ops figyelmeztetései vezettek-e a Cheetah kitiltásához.
A 2014 májusa óta a New York-i tőzsdén jegyzett Cheetah fellebbez a Google döntése ellen, és állítása szerint együttműködik a technológiai óriással az aggályok orvoslásán. Ha nem talál utat vissza a Google Play-be, a tiltás komoly csorbát fog ejteni a bevételein. 2019 első kilenc hónapjában a Cheetah Mobile bevételének közel egynegyede származott a Google által nyújtott szolgáltatásokból.