安全应用变得不再老实外媒再爆猎豹软件过度收集用户隐私

　　今年 2 月，谷歌清理了 600 款应用程序，其中有一款名为「清理大师」(Clean Master) 的应用程序，这本是一款承诺提供杀毒保护和隐私浏览功能的安全工具。尽管谷歌把它踢出了商店，但它在被移除之前已经安装了超过 10 亿次，是 Android 史上下载量最多的应用程序之一，而且现在仍有数百万部手机在使用这款应用。
　　「清理大师」是中国公司猎豹 (Cheetah) 的主要产品，腾讯是它的投资人之一。
　　《福布斯》在一篇文章中爆料，网络安全公司 White Ops 的研究员 Gabi Cirlig 在研究这款产品后提供了证据，证明该工具收集了各种各样的在网络上使用的私人数据。猎豹公司曾表示，它需要监控用户，确保他们的安全，并为他们提供有用的服务。
　　据这家安全公司的研究人员向《福布斯》爆料说，「清理大师」一直在跟踪用户的网络活动，它搜集的个人信息包括用户通过应用内的「隐私」浏览模式访问过哪些网站、他们的搜索引擎查询、他们的 Wi-Fi 接入点名称，以及更详细的信息，比如用户是如何在访问过的网页上滑动的。
　　文章中写道，猎豹的产品是有「前科」的。2018 年，谷歌就把猎豹的另一款文件管理器产品 CM File Manager 从商店中下架，原因是该应用程序违反了其针对广告欺诈的政策。然而猎豹辩解说它骗取广告点击并不是为了盈利，而且称 CM File Manager 是一款对猎豹移动收入贡献占比很小的文件管理工具，在猎豹移动 2018 年第三季度财报中，收入不到 58000 美元，仅占同期公司总收入的 0.03％。
　　当时，猎豹移动在自动从 Google Play 下架了另两个产品，电池医生和 CM Locker，理由开发版本过旧、需要时间更新。
　　根据 Cirlig 的说法，不仅仅是「清理大师」在监视用户的网络活动，猎豹的其他三款产品——CM 浏览器、CM 桌面应用和安全管理软件 Security Master 也在做同样的事情，这些应用的下载次数均达到数亿次。他发现猎豹正在从设备中收集信息，对数据进行加密并将其发送到网络服务器——ksmobile.com。通过逆向工程加密过程，他能够确定哪些数据是从用户的手机中获取的。
　　Cirlig 对《福布斯》说，「从技术上讲，猎豹有一个隐私政策，涵盖了所有的事情，并且给了他们一张空白支票来窃取所有的事情。(Technically speaking, they have a privacy policy that covers kind of everything and gives them a blank check to exfiltrate everything,)」
　　「我不能确定他们在侵犯什么。他们只是在一个灰色地带打球，而当他们认为自己越过了那条线时，就该由我们这样的研究人员站出来宣布犯规。我个人认为他们越界了。(I can’t know for sure what they’re infringing upon. It’s just that they are playing ball in a gray area and it’s up to researchers like us to stand up and call foul whenever they think that they cross the line. I personally think that they cross the line.)」
　　猎豹表示，它是在收集用户的网络流量和其他数据，但这么做主要是出于安全考虑。例如，它监控互联网浏览，以确保用户访问的网站不存在危险。它这样做也是为了提供某些服务，比如推荐最近的趋势搜索。
　　至于获取 Wi-Fi 网络名称，猎豹的回答也大致相同，为了防止用户加入恶意的 Wi-Fi 网络。「我们收集数据并不是为了追踪用户的隐私，我们也无意这么做，」一位发言人说。
　　猎豹还说，它遵守各个国家和地区隐私法规，没有出售用户的私人数据，也没有将信息发送回中国的服务器，而是发送到国外的一个亚马逊网络服务系统。
　　两名独立的安全研究人员和 Cirlig 表示，收集信息的方式要安全得多。对于网站和Wi-Fi热点，他们可以将信息转换成「哈希表」——表示网站的随机字母和数字块。机器可以读取它们，并将这些哈希值与之前标记过的恶意网站或 Wi-Fi 网络的哈希值进行比对，而无需人工查看。
　　猎豹则反驳说，哈希会使它的安全检查变得复杂，因为它需要注意 Wi-Fi 名称的细微变化，比如当0变成＂o＂，或者他们以前不知道的恶意网站。)
　　《卫报》iOS 安全应用程序的创始人、智能手机隐私问题研究员 Will Strafach 表示，「猎豹没有充分理由收集这些信息。」
　　安全分析师 Graham Cluley 职业生涯的大部分时间都在反病毒公司工作，他表示，这样的数据收集「显然令人担忧」。「对于一家安全公司来说，有很多方法可以在不需要收集那么多信息的情况下检查威胁，而这些信息可能会被用来威胁用户的隐私。」
　　来源：
　　https://www.forbes.com/sites/thomasbrewster/2020/03/03/warning-an-android-security-app-with-1-billion-downloads-is-recording-users-web-browsing/#4e59cc5d2149
　　https://www.yicai.com/news/100073093.html
　　https://security.googleblog.com/2020/02/disruptive-ads-enforcement-and-our-new.html
　　https://www.buzzfeednews.com/article/craigsilverman/google-removes-cheetah-kika-apps
　　https://www.forbes.com/sites/emmawoollacott/2018/10/25/facebook-fined-645150-over-cambridge-analytica-scandal-and-is-told-its-getting-off-lightly/
　　https://finance.yahoo.com/news/cheetah-mobile-provides-updates-google-120000843.html