Aviso: Um aplicativo de segurança Android com 1 bilhão de downloads está gravando a navegação web dos usuários

Google está quebrando o chicote com qualquer empresa violando suas regras de privacidade e fraude publicitária. Chita … Mobile, que faz um quarto das suas receitas através do negócio do Google, está a sentir a dor. (Foto de Jaap Arriens/NurPhoto via Getty Images)

NurPhoto via Getty Images

Em fevereiro, o Google jogou 600 aplicativos fora de sua loja Play. Entre eles estava um aplicativo chamado Clean Master, uma ferramenta de segurança que prometia proteção antivírus e navegação privada. Tinha mais de 1 bilhão de instalações antes de ser despejado e, apesar da proibição do Google, é um dos aplicativos mais baixados do Android e provavelmente ainda está rodando em milhões de telefones.

Embora o Google não tenha comentado o que sabia sobre o aplicativo, criado pelo Cheetah Mobile da China, a Forbes soube que uma empresa de segurança forneceu ao gigante da tecnologia provas de que a ferramenta estava coletando todo tipo de dados de uso privado da Web.

Isso inclui quais sites os usuários visitaram a partir do navegador “privado”, suas consultas no mecanismo de busca e seus nomes de pontos de acesso Wi-Fi, até informações mais detalhadas, como a forma como eles rolaram nas páginas visitadas, de acordo com o pesquisador da empresa de segurança, que também forneceu as informações para a Forbes.

Cheetah, uma empresa pública que conta com o gigante tecnológico chinês Tencent como um grande investidor, diz que precisa monitorar os usuários para mantê-los seguros e oferecer-lhes serviços úteis.

Mas a pesquisa, realizada por Gabi Cirlig, um pesquisador da empresa White Ops, vem depois de alegações anteriores de potenciais problemas de privacidade com os aplicativos da Cheetah. Em 2018, o Google expulsou seu aplicativo CM File Manager de sua loja de aplicativos por causa de violações de suas políticas sobre fraude publicitária. (Na altura, em resposta a um relatório do Buzzfeed News, a Cheetah negou ter a capacidade de alegar falsamente que os cliques publicitários tinham fins lucrativos, como foi alegado). No ano passado, VPNprovou sobre as permissões possivelmente “perigosas” exigidas pelos dispositivos, tais como a capacidade de instalar aplicativos.

Cheetah Mobile’s Clean Master foi um dos aplicativos Android mais populares já feitos. Mas foi … banido da loja Google Play, e os pesquisadores estão alertando sobre seu monitoramento da atividade Web dos usuários.

White Ops

Não é apenas o Clean Master que tem vigiado a atividade Web dos usuários, de acordo com o Cirlig. Três outros produtos Cheetah-CM Browser, CM Launcher e Security Master-apps com centenas de milhões de downloads têm feito o mesmo, de acordo com o Cirlig. Ele sondou os aplicativos no ano passado para descobrir o comportamento antes de compartilhar sua pesquisa com a Forbes. Ele descobriu que a Cheetah estava coletando as informações dos dispositivos, criptografando os dados e enviando-os para um servidor Web – ksmobilecom. Pela engenharia reversa desse processo de criptografia, ele foi capaz de determinar quais dados estavam sendo coletados dos telefones dos usuários.

“Tecnicamente falando, eles têm uma política de privacidade que cobre todo tipo de tudo e lhes dá um cheque em branco para exfiltrar tudo”, diz Cirlig. “Não posso ter a certeza do que estão a infringir”. É que eles estão jogando bola em uma área cinza e cabe a pesquisadores como nós se levantarem e chamarem de falta sempre que acharem que estão cruzando a linha”. Eu pessoalmente penso que eles atravessam a linha”

Resposta da Chita

Chita diz que está a recolher o tráfego Web dos utilizadores e outros dados, mas está a fazê-lo em grande parte por razões de segurança. Por exemplo, está a monitorizar a navegação na Internet para garantir que os sites que os utilizadores estão a visitar não são perigosos. Também o faz para fornecer certos serviços como sugerir pesquisas de tendências recentes.

As para acessar nomes de redes Wi-Fi, Cheetah disse a Forbes que o raciocínio era muito o mesmo: para evitar que os usuários entrem em redes Wi-Fi maliciosas. “Não coletamos dados para rastrear a privacidade dos usuários e não temos intenção de fazer isso”, disse um porta-voz.

A empresa diz que cumpre todas as leis de privacidade locais, não está vendendo dados privados dos usuários e não está enviando informações de volta para um servidor chinês, mas para um sistema de Web Services da Amazon fora do país. Cirlig, entretanto, observou que o domínio onde a informação foi retransmitida foi registrado na China. E a própria Cheetah está baseada em Pequim.

‘Nenhuma boa razão para recolher dados’

Dois investigadores de segurança independentes e o Cirlig dizem que há formas muito mais seguras de recolher a informação. Para websites e para os hot spots Wi-Fi, eles poderiam transformar a informação em “hashes” – pedaços de letras e números aleatórios que representam os websites. As máquinas podem lê-los e verificar tais hashes em bancos de dados de hashes de sites maliciosos previamente sinalizados ou redes Wi-Fi sem a necessidade de que os humanos os vejam. (A Cheetah diz que os hashes complicariam as suas verificações de segurança, uma vez que precisa de procurar alterações subtis nos nomes Wi-Fi, tais como quando um zero é alterado para um “o,” ou sites maliciosos previamente desconhecidos.)

Will Strafach, fundador do aplicativo de segurança iOS do Guardian e pesquisador de questões de privacidade de smartphones, disse que não havia “nenhuma boa razão para coletar essas informações”

Graham Cluley, um analista de segurança que passou grande parte de sua carreira trabalhando para empresas antivírus, disse que tal coleta de dados era “claramente uma preocupação”. Há maneiras de uma empresa de segurança verificar ameaças sem ter que coletar tantas informações, que poderiam ser usadas para diminuir a privacidade dos usuários”, acrescentou Cluley.

“Mesmo se os próprios aplicativos pedirem permissões, eu esperaria que um produto de segurança explicasse por que ele precisava de certos dados e tentasse justificar seu rosnado de dados”, acrescentou Cluley.

Qual é o potencial de abuso?

>

Referindo-se à amplitude da informação que está a ser recolhida pela Cheetah, seria possível desanonimizar um utilizador através dos seus hábitos de navegação na Web, dos seus pontos de acesso Wi-Fi e dos números de identificação dos seus telefones, disse Cirlig.

“O problema é que eles estão a correlacionar o comportamento do utilizador – quais os aplicativos que a sua audiência usa, quais os sites que eles navegam e assim por diante – com dados específicos que podem ser muito facilmente ligados a uma pessoa real por detrás desse telefone. . . Portanto, mesmo que você queira evitar qualquer tipo de rastreamento, não basta mudar seu telefone, mas toda a infra-estrutura que você está usando.

“Mesmo se por alguma razão eles descartarem todos os dados pessoais no lado do servidor, a base de instalação assustadoramente enorme ainda permite que eles aproveitem seus dados despersonalizados em um estilo Cambridge Analytica.”

Logs de rastreamento de busca do Cheetah Mobile no Google através de sua ferramenta de Navegador CM. Cheetah diz que precisa … rastrear usuários para fornecer recursos úteis e proteções de segurança.

White Ops

White Ops disse que informou o Google sobre o comportamento em dezembro. Em fevereiro, Cheetah descobriu que suas contas no Google Play Store, AdMob e AdManager haviam sido suspensas. O Google não respondeu às perguntas da Forbes sobre se os avisos das White Ops levaram à proibição da Cheetah.

Cheetah, que está listada na Bolsa de Nova York desde maio de 2014, está apelando da decisão do Google e afirma estar trabalhando com o gigante da tecnologia para tratar de suas preocupações. Se não encontrar um caminho de volta ao Google Play, a proibição fará uma séria mossa nas suas receitas. Nos primeiros nove meses de 2019, quase um quarto das receitas do Cheetah Mobile veio dos serviços hospedados pelo Google.

>

>
>

>

Deixe uma resposta

O seu endereço de email não será publicado.