Антивирус Clean Master для Android с 1 миллиардом установок отслеживает активность в Интернете

2020-03-04 18964 комментарии
Clean Master для Android отслеживает посещенные сайты с помощью встроенного «приватного» браузера, поисковые запросы, названия беспроводных точек доступа, и даже фиксирует карту скроллинга веб-страниц

В феврале компания Google удалила из магазина приложений Google Play около 600 приложений. Среди них оказалось приложение под названием Clean Master для Android. Данное приложение безопасности предлагало антивирусную защиту и приватный серфинг. На момент блокировки приложение было установлено более 1 миллиарда раз. Несмотря на блокировку Google, Clean Master остается одним из самых популярных приложений для Android за все время, которое продолжает работать на миллионах смартфонах по всему миру.

Clean Master для Android

Компания Google не давала официальных комментариев по поводу блокировки Clean Master, разработанного китайской компанией Cheetah Mobile. Однако, издание Forbes выяснило, что у технологического гиганта появились неопровержимые доказательства того, что приложение собирает различные данные о пользовательской активности в Интернете.

Clean Master отслеживает посещенные сайты с помощью встроенного “приватного” браузера, поисковые запросы, названия беспроводных точек доступа, и даже фиксирует карту скроллинга веб-страниц.

Cheetah в свою очередь заявляет, что эти данные необходимы для обеспечения безопасности пользователей и разработки полезных сервисов. Cheetah является публичной китайской компанией, получившей крупные инвестиции от Tencent.

Исследователь из White Ops, Габи Цирлиг (Gabi Cirlig) провел собственный анализ работы приложений китайской компании после заявлений о потенциальных проблемах конфиденциальности с приложениями Cheetah. В 2018 году Google уже исключал из Google Play приложение CM File Manager за нарушения политик и рекламное мошенничество. Тогда Cheetah отрицал, что у компании была возможность намеренно требовать рекламных кликов для получения прибыли. В прошлом году компания VPNpro предупредила о потенциально опасных разрешениях приложений Cheetah, таких как, например, возможность установки приложений.

Clean Master для Android

Цирлиг обнаружил, что сразу несколько приложений китайской компании отслеживали пользовательскую активность в Интернете. Еще три приложения с миллионной пользовательской базой – CM Security Master, CM Browser и CM Launcher – поступали аналогичным образом. Свои исследования он проводил в 2019 году, а потом поделился их результатами с Forbes. Цирлиг установил, что Cheetah собирал информацию с устройств, зашифровывал ее и передавал на веб-сервер ksmobile.com. С помощью реверс-инжиниринга он смог определить, какие именно данные собирались со смартфонов и планшетов пользователей.

Цирлиг отметил:

В техническом смысле они соблюдают собственную политику конфиденциальности, которая открывает им доступ к любым данным. Сложно установить, что именно они нарушают. Они просто играют в серой зоне, и только независимые исследователи могут выявить нарушение правил. Я лично убежден, что они пересекают черту.

Cheetah Mobile оправдывается

Cheetah утверждает, что собирает данные о пользовательском веб-трафике и другие данные преимущественно из соображений безопасности. Например, контроль над веб-страницами необходим, чтобы убедиться, что посещаемые ресурсы не являются опасными. Также телеметрические данные используются для предоставления определенных сервисов, например для отображения популярных запросов.

Что касается доступа к именам сетей Wi-Fi, то эти данные необходимы для предотвращения подключения пользователей к вредоносным беспроводным сетям. Представитель китайской компании сообщил: “Мы не собираем данные для отслеживания пользовательских привычек и у нас нет намерений это делать”.

Компания заявляет, что соблюдает все местные законы о конфиденциальности, не продает личные данные пользователей и не отправляет информацию на китайские сервера, а использует систему веб-сервисов Amazon, расположенную за пределами Поднебесной. Однако Цирлиг отметил, что домен, на который передается информация, был зарегистрирован в Китае. Штаб-квартира Cheetah находится в Пекине.

“Нет веских причин для сбора данных”

Кроме Цирлига, еще два независимых исследователя безопасности подтвердили, что существуют более безопасные способы сбора информации. Например, данные о посещении сайтах и названия сетей следует получать из хэшей - фрагментов случайных букв и ссылок, которые представляют сайты. Компьютерные системы могут считывать такие данные и проверять хэши по базам данных хэшей сайтов и сетей, ранее распознанных как вредоносных. При этом сотрудники вендора не получат доступа к персональной информации. Однако, Cheetah парирует, что хэши усложняют проверки безопасности, в этом случае нужно следить даже за незначительными изменениями в именах Wi-Fi, например, при изменении нуля на «o».

Уилл Страфач (Will Strafach), основатель приложения безопасности Guardian iOS и исследователь проблем конфиденциальности смартфонов, сказал, что у “Cheetah нет веских причин собирать эту информацию”.

Аналитик Грэм Клули (Graham Cluley), который провел большую часть своей карьеры, работая в антивирусных компаниях, сказал, что такой сбор данных “определенно вызывает озабоченность”. Вендорам доступно несколько способов для проверки наличия угроз, не предусматривающей сбор такого объема информации, которые может использоваться для снижения конфиденциальности пользователей.

Клули отмечает:

Даже если приложения сами запрашивают разрешения, я надеюсь, что мобильный антивирус должен объяснить, для чего нужны определенные данные, чтобы пользователь мог это осознавать.

Какие могут быть последствия?

Если учитывать объем информации, получаемый Cheetah, китайская компания может деанонимизировать пользователя, проанализировать его привычки в Интернете, используемые беспроводные точки доступа и идентификационные номера смартфонов.

Цирлиг сообщает:

Проблема заключается в том, что возможна корреляция поведенческих привычек (просматриваемые сайты, приложения) с конкретными данными, которые можно легко привязать к реальному владельцу смартфона… Поэтому, даже если вы хотите предотвратить какое-либо отслеживание, недостаточно сменить телефон, нужно на самом деле поменять всю используемую инфраструктуру.

Даже если по какой-то причине они [Cheetah] отбрасывают все личные данные на стороне сервера, пугающе огромная база установки по-прежнему позволяет им использовать обезличенные данные в стиле Cambridge Analytica.

Clean Master для Android

Компания White Ops проинформировала Google об опасности еще в декабре. В феврале учетные записи Cheetah в Google Play, AdMob и AdManager были заморожены. Google не ответил на вопросы Forbes о том, явились ли предупреждения White Ops сигналом к запрету приложений Cheetah.

Cheetah оспаривает решение Google и заявляет, что сотрудничает с технологическим гигантом для решения своих проблем. Если приложения Cheetah не вернутся в Google Play, то это серьезно скажется на доходах компании. За первые девять месяцев 2019 года почти четверть дохода Cheetah Mobile была получена от продуктов, размещенных в сервисах Google.

© . По материалам Forbes

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?