Tecnología

Esta popular app para Android grabó la navegación de sus usuarios

Clean Master, de la firma china Cheetah -que cuenta con Tencent como inversionista-, vigiló la actividad web de los usuarios y presuntamente compartió todo tipo de datos privados de uso en la web de sus usuarios.

En febrero, Google lanzó 600 aplicaciones de su Play Store, entre ellos se encontraba una app llamada, Clean Master, una herramienta de seguridad que promete garantizar un antivirus y navegación privada. Contaba con más de mil millones de instalaciones antes de ser removida y a pesar de que Google la prohibiera, es una de las más descargadas de Android y probablemente aún se ejecuta en millones de teléfonos.

Si bien Google no se ha pronunciado sobre lo que sabía sobre la aplicación, creada por Cheetah Mobile (empresa china de internet móvil), Forbes ha descubierto que una compañía de seguridad proporcionó al gigante tecnológico evidencia de que la herramienta recopilaba todo tipo de datos privados de uso en la web.

Eso incluye los sitios que los usuarios visitaron desde el modo “privado” que ofrecía la aplicación, sus consultas en los motores de búsqueda, los nombres de puntos de acceso a Wi-Fi, e incluso información más detallada, como los desplazamientos en las páginas web, de acuerdo a un investigador de la compañía de seguridad, quien le proporcionó información a Forbes.

Cheetah (empresa pública que cuenta con el gigante tecnológico chino Tencent como importante inversor) declara que es necesario monitorear a los usuarios para mantenerlos seguros y ofrecerles servicios útiles.

Sin embargo, la investigación realizada por Gabi Cirlig (de la compañía de seguridad cibernética White Ops) esto se produce tras las acusaciones anteriores de posibles problemas de privacidad con las aplicaciones de Cheetah.

En 2018, Google expulsó su aplicación CM File Manager de su tienda de aplicaciones por incumplir sus políticas sobre fraude publicitario. En ese momento, Cheetah negó que tuviera la capacidad de reclamar falsos clics en anuncios para obtener ganancias. El año pasado, VPNpro advirtió sobre los permisos posiblemente “peligrosos” requeridos por los dispositivos, así como su capacidad para instalar aplicaciones.

Según Cirlig, no es solo se trata de la app Clean Master, que ha estado vigilando la actividad web de los usuarios. Sino, de otros tres productos de Cheetah (CM BrowserCM Launcher y Security Master) con cientos de millones de descargas con las que se ha hecho lo mismo. El año pasado, el investigador probó las aplicaciones para descubrir su comportamiento, antes de compartir su investigación con Forbes. Finalmente, encontró que Cheetah recopilaba la información de los dispositivos, encriptando datos y enviándolos al servidor web: “ksmobile [.] Com.” A través de ingeniería inversa del proceso de encriptación, determinó qué datos se recolectaban de los teléfonos.

“Técnicamente hablando, tienen una política de privacidad que cubre todo y les da un cheque en blanco para exfiltrar todo. No se puede saber con certeza sobre qué están infringiendo. Sin embargo, es claro que juegan a la pelota en un área gris y depende de los investigadores como yo que tomemos acción y reportemos una falta cada vez que piensan que cruzan la línea. Personalmente, yo creo que sí violan la privacidad”, declaró Cirlig.

La respuesta del Cheetah

Cheetah declaró que está recopilando el tráfico web de los usuarios y otros datos, por razones de seguridad. Por ejemplo, monitorea la navegación por Internet para garantizar que los sitios que se visitan  no sean peligrosos. También dijo que lo hace con el fin de proporcionar ciertos servicios, como para sugerir búsquedas de tendencias recientes.

En cuanto al acceso a los nombres de redes Wi-Fi, Cheetah le comunicó a Forbes que el razonamiento era muy similar: evitar que los usuarios se unieran a redes maliciosas. “No recopilamos datos para rastrear la privacidad de los usuarios y no tenemos intención de hacerlo”, aclaró un portavoz.

La compañía anunció que cumple con todas las leyes locales de privacidad y que no está vendiendo datos privados de los usuarios ni enviando información a un servidor chino, sino a un sistema de servicios web de Amazon fuera del país. Sin embargo, Cirlig, señala que el dominio donde se transmitió la información se registró en China. Recordemos que Cheetah tiene su sede en Beijing.

“No hay una buena razón para recopilar datos”

Dos investigadores de seguridad independientes y Cirlig explican que hay formas mucho más seguras de recopilar la información. Cuando se trata de sitios web y puntos de acceso Wi-Fi, se podría convertir la información en hashes (fragmentos de letras y números aleatorios que representan los sitios web). De esta forma, las máquinas pueden leerlos y verificar dichos hash con unas bases de datos de sitios web maliciosos o redes Wi-Fi, marcados previamente, sin la necesidad de que los humanos accedan a los datos. Sin embargo, Cheetah aclara que los hash complicarían sus comprobaciones de seguridad, ya que necesita buscar cambios sutiles en los nombres de Wi-Fi, como en los casos cuando un cero se cambia a una “o”, o por sitios maliciosos previamente desconocidos.

Will Strafach, fundador de Guardian (aplicación de seguridad para iOS e investigador de los problemas de privacidad de los teléfonos inteligentes) declaró que “no hay una buena razón para que Cheetah recopilara esta información”.

Por otro lado, Graham Cluley, analista de seguridad, quien pasó gran parte de su carrera trabajando para compañías antivirus, comentó que la recopilación de datos era “claramente preocupante”. Existen diversas formas por las que una empresa de seguridad puede verificar las amenazas sin tener que recopilar tanta información, que podría utilizarse para disminuir la privacidad de los usuarios.

“Incluso si las mismas aplicaciones solicitan permisos, es necesario saber por qué un producto de seguridad necesitaba ciertos datos y luego es sospechoso que la compañía tratara de justificar su enredo”, agregó Cluley.

¿Cuál es el potencial de abuso?

En referencia a la amplitud de la información recopilada por Cheetah, sería posible volver anónimo a un usuario observando sus hábitos de navegación web, sus puntos de acceso a Wi-Fi y los números de identificación de sus teléfonos, dijo Cirlig.

“El problema es que están correlacionando el comportamiento del usuario, qué aplicaciones usa su audiencia y en qué sitios navegan con datos específicos que se pueden vincular fácilmente a una persona real detrás de ese teléfono. Incluso si desea evitar cualquier tipo de seguimiento, no es suficiente cambiar su teléfono, sino toda la infraestructura que se está utilizando”, explica Cirlig.

“Si por alguna razón se descartan todos los datos personales en el lado del servidor, la enorme base de instalación aún les permite aprovecharlos y despersonalizarlo en un estilo de Cambridge Analytica“.

White Ops anunció que le informó a Google sobre este comportamiento en diciembre, para febrero, Cheetah descubrió que las cuentas de AdMob y AdManager habían sido suspendidas por Google Play Store. En tanto, Google no ha respondido a las preguntas de Forbes sobre si las advertencias de White Ops llevaron a la prohibición de Cheetah.

Desde mayo de 2015, Cheetah cotiza en la Bolsa de Nueva York y está apelando la decisión de Google, debido a que afirma estar trabajando con el gigante tecnológico para abordar sus preocupaciones. Si no encuentra el camino de regreso a Google Play, la prohibición afectará seriamente sus ingresos. En los primeros nueve meses de 2019, casi una cuarta parte de los ingresos de Cheetah Mobile provino de sus servicios alojados en Google.

En alianza con Forbes México y Centroamérica

ARCHIVADO EN: