Warnung vor Android-Sicherheits-App Clean Master: Privates Browsen führt zu minutiösem Tracking

Erst im Februar entfernte Google über 600 Apps aus dem Play Store, weil diese zu aufdringliche Werbung ausspielten. Dazu gehörte auch die von dem chinesischen Betreiber Cheetah Mobile angebotene App Clean Master. Diese wurde über eine Milliarde Mal heruntergeladen, ist womöglich noch auf zahlreichen Smartphones aktiv und soll die User als Sicherheits-App vor Viren schützen und ihnen privates Browsen ermöglichen. Allerdings berichtet Forbes nun, dass die App diverse persönliche User-Daten der Web-Nutzung sammelt – und damit sogar zum Sicherheitsrisiko werden könnte.

Muss Cheetah Mobile so viel über die User wissen?

Google kommentierte laut dem Forbes-Bericht bislang nicht, was das Unternehmen über Clean Master wusste. Forbes selbst hingegen hat von einem Sicherheitsunternehmen erfahren, dass die App alle möglichen Web-Nutzungsdaten der User sammelt. Zum Beispiel werden Websites dokumentiert, die über den In-App-Modus „Private“ besucht wurden, außerdem werden Suchanfragen oder WiFi-Zugriffe gesammelt. Darüber hinaus soll sogar konkretes Scrolling-Verhalten dokumentiert worden sein.

Cheetah Mobile argumentiert, dass diese Daten notwendig seien, um den Usern einen optimalen Service und die größtmögliche Sicherheit zu bieten. Vorstellbar ist aber auch, dass die Daten für ein sehr granulares Targeting herangezogen werden; wenn nicht für weitere Zwecke. Denn erst Ende 2018 hatte Google diverse Apps von Cheetah Mobile aus dem Play Store entfernt, nachdem ein Bericht bei Buzzfeed aufgedeckt hatte, dass sieben Apps des Anbieters für drastischen Ad Fraud verantwortlich waren.

Doch wofür braucht Cheetah Mobile all diese Daten wirklich?

Fragwürdige Datenspeicherung im Graubereich

Gabi Cirlig, ein Researcher des Cybersicherheitsunternehmens White Ops, untersuchte Clean Master und andere Cheetah Mobile Apps und teilte seine Erkenntnisse mit Forbes. Demnach werden all die gesammelten Daten der User verschlüsselt und an einen Webserver – ksmobile[.]com – gesendet. Cirlig gibt Forbes gegenüber an, dass die Datenschutzbestimmungen der App dieser quasi einen Freibrief geben, beinahe alle Nutzungsdaten zu exfiltrieren. Dabei sei das allein noch kein direkter Verstoß gegen ein Gesetz oder bestimmte Richtlinien:

I can’t know for sure what they’re infringing upon. It’s just that they are playing ball in a gray area and it’s up to researchers like us to stand up and call foul whenever they think that they cross the line. I personally think that they cross the line,

so Cirlig weiter. Cheetah Mobile negiert auch das Sammeln der Daten gar nicht. Allerdings distanziert sich der Anbieter von dem Vorwurf, man wolle die Daten für andere Zwecke als zur Gewährleistung von Sicherheit und Services nutzen.

We do not collect data to track users‘ privacy and we have no intention to do that,

gab ein Unternehmenssprecher gegenüber Forbes an. Allerdings betonte das Unternehmen auch, mit allen lokalen Gesetzen in Einklang zu stehen und keine Informationen nach China zu senden, sondern lediglich an einen Amazon Web Server. Allerdings ist die Domain, an die die verschlüsselten Daten gesendet werden, laut Cirlig in China registriert; und Cheetah Mobile sitzt in Peking.

Die Informationen könnten sicherer gesammelt werden

Gibt es einen guten Grund für Cheetah, um die User-Daten auf die Art zu sammeln, wie es aktuell passiert? Das verneint Will Strafach, Gründer der Guardian iOS Security App. Diverse Datenschützer erklären bei Forbes, dass die Clean-Master-Praktik dubios erscheint. Denn man könnte etwa die WiFi-Zugriffe oder Website-Besuche auch als Hashes umschreiben, die dann nur automatisiert abgeglichen werden, aber keine Einsicht von Menschen erfordern.

Die Daten, die Cheetah Mobile nun über Clean Master sammeln kann, könnten trotz der Verschlüsselung auf einzelne User zurückgeführt werden, wenn deren Verhalten oder deren Telefonnummern ausgewertet werden. Und dann könnte es zu einem regelrechten Leak kommen. Gabi Cirlig meint:

Even if by some reason they discard all of the personal data on the server-side, the frighteningly huge install base still allows them to leverage their depersonalized data in a Cambridge Analytica-style.

Möglich ist, dass Google – das von den Sicherheitsbedenken zu Clean Master informiert worden war – die App auch deshalb aus dem Play Store entfernt hat. Wenn Cheetah Mobile so erfolgreiche Apps wie Clean Master bei Google nicht mehr im Play Store unterbringen kann, dürfte sich das langfristig auch negativ auf die Umsätze des chinesischen Anbieters auswirken.

Wer selbst noch auf die Clean Master App setzt, sollte sich unterdessen überlegen, ob die Datensammlung über diese tragbar ist. Denn das Prädikat Sicherheits-App dürfte mit den Erkenntnissen, die Thomas Brewster bei Forbes liefert, bröckeln.