Ostrzeżenie: Android Security App With 1 Billion Downloads Is Recording Users’ Web Browsing

Google jest pękanie bicz z wszelkich firm naruszających jego prywatności i zasad oszustw reklamowych. Cheetah … Mobile, który robi jedną czwartą swoich dochodów przez Google biznesu, czuje ból. (Photo by Jaap Arriens/NurPhoto via Getty Images)

NurPhoto via Getty Images

W lutym, Google wyrzucił 600 aplikacji z jego sklepu Play. Wśród nich była aplikacja o nazwie Clean Master, narzędzie bezpieczeństwa obiecujące ochronę antywirusową i prywatne przeglądanie. To miał więcej niż 1 miliard instalacji, zanim został wyrzucony i, pomimo zakazu Google, jest jednym z Android najbardziej pobranych aplikacji kiedykolwiek i jest prawdopodobnie nadal działa na milionach telefonów.

Podczas gdy Google nie skomentował, co wiedział o aplikacji, stworzony przez Chiny Cheetah Mobile, Forbes dowiedział się firma bezpieczeństwa dostarczone giganta technologicznego z dowodów narzędzie było zbieranie wszelkiego rodzaju prywatnych danych wykorzystania sieci.

To zawiera, które strony internetowe użytkownicy odwiedzili z in-app „prywatnej” przeglądarki, ich zapytania wyszukiwarki i ich Wi-Fi nazwy punktów dostępu, aż do bardziej szczegółowych informacji, takich jak jak przewijanie na odwiedzanych stronach internetowych, zgodnie z firmy bezpieczeństwa badacza, który również dostarczył informacje do Forbes.

Cheetah, firma publiczna, która liczy chińskiego giganta technologicznego Tencent jako głównego inwestora, twierdzi, że musi monitorować użytkowników, aby zapewnić im bezpieczeństwo i zaoferować im przydatne usługi.

Ale badania, przeprowadzone przez Gabi Cirlig, badacza w firmie White Ops zajmującej się cyberbezpieczeństwem, pojawiają się po wcześniejszych zarzutach dotyczących potencjalnych problemów z prywatnością z aplikacjami Cheetah. W 2018 roku Google wyrzucił swoją aplikację CM File Manager ze swojego sklepu z aplikacjami nad naruszeniami swojej polityki dotyczącej oszustw reklamowych. (W tym czasie, w odpowiedzi na raport z Buzzfeed News, Cheetah zaprzeczył, że miał możliwość fałszywego żądania kliknięć reklam dla zysku, jak twierdzono). W zeszłym roku VPNpro ostrzegał o potencjalnie „niebezpiecznych” uprawnieniach wymaganych przez urządzenia, takich jak możliwość instalowania aplikacji.

Cheetah Mobile’s Clean Master był jedną z najpopularniejszych aplikacji na Androida, jakie kiedykolwiek powstały. Ale została … zbanowana w sklepie Google Play, a badacze ostrzegają o jej monitorowaniu aktywności użytkowników w sieci.

White Ops

To nie tylko Clean Master pilnował aktywności użytkowników w sieci, według Cirliga. Trzy inne produkty Cheetah – CM Browser, CM Launcher i Security Master – aplikacje z setkami milionów pobrań robiły to samo, według Cirliga. Zbadał on te aplikacje w zeszłym roku, aby odkryć to zachowanie, zanim podzielił się swoimi badaniami z Forbesem. Odkrył, że Cheetah zbierał informacje z urządzeń, szyfrował dane i wysyłał je do serwera WWW – ksmobilecom. Poprzez odwrócenie procesu szyfrowania, był w stanie określić, jakie dane były zbierane z telefonów użytkowników.

„Technicznie rzecz biorąc, mają politykę prywatności, która obejmuje rodzaj wszystkiego i daje im czek in blanco do exfiltracji wszystkiego,” mówi Cirlig. „Nie mogę wiedzieć na pewno, co naruszają. Po prostu grają w piłkę w szarej strefie i to badacze tacy jak my muszą się postawić i powiedzieć „faul” za każdym razem, gdy uznają, że przekraczają granicę. Ja osobiście uważam, że przekraczają granicę.”

Odpowiedź firmy Cheetah

Cheetah twierdzi, że zbiera dane o ruchu internetowym użytkowników i inne dane, ale robi to głównie ze względów bezpieczeństwa. Na przykład, monitoruje przeglądanie Internetu, aby upewnić się, że strony odwiedzane przez użytkowników nie są niebezpieczne. Robi to również w celu zapewnienia pewnych usług, takich jak sugerowanie najnowszych trendów wyszukiwania.

As for access Wi-Fi network names, Cheetah told Forbes the reasoning was much the same: to prevent users joining malicious Wi-Fi networks. „Nie zbieramy danych w celu śledzenia prywatności użytkowników i nie mamy zamiaru tego robić”, powiedział rzecznik prasowy.

Firma twierdzi, że przestrzega wszystkich lokalnych przepisów dotyczących prywatności, nie sprzedaje prywatnych danych użytkowników i nie wysyła informacji z powrotem do chińskiego serwera, ale do systemu Amazon Web Services poza granicami kraju. Cirlig zauważył jednak, że domena, do której przekazywane były informacje, została zarejestrowana w Chinach. A sam Cheetah ma siedzibę w Pekinie.

„Nie ma dobrego powodu do zbierania danych”

Dwaj niezależni badacze bezpieczeństwa i Cirlig twierdzą, że istnieją znacznie bezpieczniejsze sposoby zbierania informacji. W przypadku stron internetowych i hot spotów Wi-Fi, mogliby oni przekształcić informacje w „hashe” – kawałki losowych liter i liczb, które reprezentują strony internetowe. Maszyny mogą je odczytać i porównać z bazami danych haszy wcześniej oznaczonych złośliwych stron internetowych lub sieci Wi-Fi bez potrzeby przeglądania ich przez człowieka. (Cheetah twierdzi, że hasze skomplikowałyby kontrole bezpieczeństwa, ponieważ muszą zwracać uwagę na subtelne zmiany w nazwach sieci Wi-Fi, takie jak zmiana zera na „o”, lub wcześniej nieznane złośliwe strony.)

Will Strafach, założyciel Guardian iOS aplikacji bezpieczeństwa i badacz problemów prywatności smartphone, powiedział, że nie było „nie ma dobrego powodu do zbierania tych informacji.”

Graham Cluley, analityk bezpieczeństwa, który spędził większość swojej kariery pracy dla firm antywirusowych, powiedział, że takie zbieranie danych było „wyraźnie niepokojące.” Istnieją sposoby dla firmy bezpieczeństwa, aby sprawdzić zagrożenia bez konieczności zbierania tak wielu informacji, które mogłyby być potencjalnie wykorzystane do zmniejszenia prywatności użytkowników.”

„Nawet jeśli aplikacje same proszą o uprawnienia, miałbym nadzieję, że produkt bezpieczeństwa wyjaśniłby, dlaczego potrzebował pewnych danych i spróbowałby uzasadnić swoje snarfle danych,” Cluley dodał.

Jaki jest potencjał do nadużyć?

„Problem polega na tym, że korelują oni zachowanie użytkownika – jakich aplikacji używa ich publiczność, jakie strony przegląda i tak dalej – z konkretnymi danymi, które można bardzo łatwo powiązać z prawdziwą osobą stojącą za tym telefonem…”. . . Więc nawet jeśli chcesz zapobiec wszelkiego rodzaju śledzenia, to nie wystarczy zmienić swój telefon, ale rzeczywiście całą infrastrukturę, że używasz.

„Nawet jeśli z jakiegoś powodu odrzucą wszystkie dane osobowe po stronie serwera, przerażająco ogromna baza instalacyjna nadal pozwala im na wykorzystanie zdepersonalizowanych danych w stylu Cambridge Analytica.”

Logi śledzenia wyszukiwania Google przez Cheetah Mobile za pomocą narzędzia CM Browser. Cheetah twierdzi, że musi … śledzić użytkowników, aby zapewnić przydatne funkcje i ochronę bezpieczeństwa.

White Ops

White Ops powiedział, że poinformował Google o zachowaniu z powrotem w grudniu. W lutym Cheetah odkryła, że jej konta Google Play Store, AdMob i AdManager zostały zawieszone. Google nie odpowiedział na pytania Forbes na temat tego, czy ostrzeżenia White Ops doprowadziły do zakazu Cheetah.

Cheetah, który był notowany na nowojorskiej giełdzie od maja 2014 roku, odwołuje się od decyzji Google i twierdzi, że pracuje z gigantem technologicznym na adresowanie swoich obaw. Jeśli nie znajdzie sposobu na powrót do Google Play, zakaz poważnie zagrozi jej przychodom. W pierwszych dziewięciu miesiącach 2019 r. prawie jedna czwarta przychodów Cheetah Mobile pochodziła z usług hostowanych przez Google.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.