今年 2 月,谷歌清理了 600 款应用程序,其中有一款名为「清理大师」(Clean Master) 的应用程序,这本是一款承诺提供杀毒保护和隐私浏览功能的安全工具。尽管谷歌把它踢出了商店,但它在被移除之前已经安装了超过 10 亿次,是 Android 史上下载量最多的应用程序之一,而且现在仍有数百万部手机在使用这款应用。
「清理大师」是中国公司猎豹 (Cheetah) 的主要产品,腾讯是它的投资人之一。
《福布斯》在一篇文章中爆料, 络安全公司 White Ops 的研究员 Gabi Cirlig 在研究这款产品后提供了证据,证明该工具收集了各种各样的在 络上使用的私人数据。猎豹公司曾表示,它需要监控用户,确保他们的安全,并为他们提供有用的服务。
据这家安全公司的研究人员向《福布斯》爆料说,「清理大师」一直在跟踪用户的 络活动,它搜集的个人信息包括用户通过应用内的「隐私」浏览模式访问过哪些 站、他们的搜索引擎查询、他们的 Wi-Fi 接入点名称,以及更详细的信息,比如用户是如何在访问过的 页上滑动的。
文章中写道,猎豹的产品是有「前科」的。2018 年,谷歌就把猎豹的另一款文件管理器产品 CM File Manager 从商店中下架,原因是该应用程序违反了其针对广告欺诈的政策。然而猎豹辩解说它骗取广告点击并不是为了盈利,而且称 CM File Manager 是一款对猎豹移动收入贡献占比很小的文件管理工具,在猎豹移动 2018 年第三季度财 中,收入不到 58000 美元,仅占同期公司总收入的 0.03%。
当时,猎豹移动在自动从 Google Play 下架了另两个产品,电池医生和 CM Locker,理由开发版本过旧、需要时间更新。
根据 Cirlig 的说法,不仅仅是「清理大师」在监视用户的 络活动,猎豹的其他三款产品——CM 浏览器、CM 桌面应用和安全管理软件 Security Master 也在做同样的事情,这些应用的下载次数均达到数亿次。他发现猎豹正在从设备中收集信息,对数据进行加密并将其发送到 络服务器——ksmobile.com。通过逆向工程加密过程,他能够确定哪些数据是从用户的手机中获取的。
Cirlig 对《福布斯》说,「从技术上讲,猎豹有一个隐私政策,涵盖了所有的事情,并且给了他们一张空白支票来窃取所有的事情。(Technically speaking, they have a privacy policy that covers kind of everything and gives them a blank check to exfiltrate everything,)」
「我不能确定他们在侵犯什么。他们只是在一个灰色地带打球,而当他们认为自己越过了那条线时,就该由我们这样的研究人员站出来宣布犯规。我个人认为他们越界了。(I can’t know for sure what they’re infringing upon. It’s just that they are playing ball in a gray area and it’s up to researchers like us to stand up and call foul whenever they think that they cross the line. I personally think that they cross the line.)」
猎豹表示,它是在收集用户的 络流量和其他数据,但这么做主要是出于安全考虑。例如,它监控互联 浏览,以确保用户访问的 站不存在危险。它这样做也是为了提供某些服务,比如推荐最近的趋势搜索。
至于获取 Wi-Fi 络名称,猎豹的回答也大致相同,为了防止用户加入恶意的 Wi-Fi 络。「我们收集数据并不是为了追踪用户的隐私,我们也无意这么做,」一位发言人说。
猎豹还说,它遵守各个国家和地区隐私法规,没有出售用户的私人数据,也没有将信息发送回中国的服务器,而是发送到国外的一个亚马逊 络服务系统。
两名独立的安全研究人员和 Cirlig 表示,收集信息的方式要安全得多。对于 站和Wi-Fi热点,他们可以将信息转换成「哈希表」——表示 站的随机字母和数字块。机器可以读取它们,并将这些哈希值与之前标记过的恶意 站或 Wi-Fi 络的哈希值进行比对,而无需人工查看。
猎豹则反驳说,哈希会使它的安全检查变得复杂,因为它需要注意 Wi-Fi 名称的细微变化,比如当0变成“o”,或者他们以前不知道的恶意 站。)
《卫 》iOS 安全应用程序的创始人、智能手机隐私问题研究员 Will Strafach 表示,「猎豹没有充分理由收集这些信息。」
安全分析师 Graham Cluley 职业生涯的大部分时间都在反病毒公司工作,他表示,这样的数据收集「显然令人担忧」。「对于一家安全公司来说,有很多方法可以在不需要收集那么多信息的情况下检查威胁,而这些信息可能会被用来威胁用户的隐私。」
https://www.forbes.com/sites/thomasbrewster/2020/03/03/warning-an-android-security-app-with-1-billion-downloads-is-recording-users-web-browsing/#4e59cc5d2149
https://www.yicai.com/news/100073093.html
https://security.googleblog.com/2020/02/disruptive-ads-enforcement-and-our-new.html
https://www.buzzfeednews.com/article/craigsilverman/google-removes-cheetah-kika-apps
https://www.forbes.com/sites/emmawoollacott/2018/10/25/facebook-fined-645150-over-cambridge-analytica-scandal-and-is-told-its-getting-off-lightly/
https://finance.yahoo.com/news/cheetah-mobile-provides-updates-google-120000843.html
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!