安全应用变得不再老实外媒再爆猎豹软件过度收集用户隐私
今年 2 月,谷歌清理了 600 款应用程序,其中有一款名为「清理大师」(Clean Master) 的应用程序,这本是一款承诺提供杀毒保护和隐私浏览功能的安全工具。尽管谷歌把它踢出了商店,但它在被移除之前已经安装了超过 10 亿次,是 Android 史上下载量最多的应用程序之一,而且现在仍有数百万部手机在使用这款应用。
「清理大师」是中国公司猎豹 (Cheetah) 的主要产品,腾讯是它的投资人之一。
《福布斯》在一篇文章中爆料,网络安全公司 White Ops 的研究员 Gabi Cirlig 在研究这款产品后提供了证据,证明该工具收集了各种各样的在网络上使用的私人数据。猎豹公司曾表示,它需要监控用户,确保他们的安全,并为他们提供有用的服务。
据这家安全公司的研究人员向《福布斯》爆料说,「清理大师」一直在跟踪用户的网络活动,它搜集的个人信息包括用户通过应用内的「隐私」浏览模式访问过哪些网站、他们的搜索引擎查询、他们的 Wi-Fi 接入点名称,以及更详细的信息,比如用户是如何在访问过的网页上滑动的。
文章中写道,猎豹的产品是有「前科」的。2018 年,谷歌就把猎豹的另一款文件管理器产品 CM File Manager 从商店中下架,原因是该应用程序违反了其针对广告欺诈的政策。然而猎豹辩解说它骗取广告点击并不是为了盈利,而且称 CM File Manager 是一款对猎豹移动收入贡献占比很小的文件管理工具,在猎豹移动 2018 年第三季度财报中,收入不到 58000 美元,仅占同期公司总收入的 0.03%。
当时,猎豹移动在自动从 Google Play 下架了另两个产品,电池医生和 CM Locker,理由开发版本过旧、需要时间更新。
根据 Cirlig 的说法,不仅仅是「清理大师」在监视用户的网络活动,猎豹的其他三款产品——CM 浏览器、CM 桌面应用和安全管理软件 Security Master 也在做同样的事情,这些应用的下载次数均达到数亿次。他发现猎豹正在从设备中收集信息,对数据进行加密并将其发送到网络服务器——ksmobile.com。通过逆向工程加密过程,他能够确定哪些数据是从用户的手机中获取的。
Cirlig 对《福布斯》说,「从技术上讲,猎豹有一个隐私政策,涵盖了所有的事情,并且给了他们一张空白支票来窃取所有的事情。(Technically speaking, they have a privacy policy that covers kind of everything and gives them a blank check to exfiltrate everything,)」
「我不能确定他们在侵犯什么。他们只是在一个灰色地带打球,而当他们认为自己越过了那条线时,就该由我们这样的研究人员站出来宣布犯规。我个人认为他们越界了。(I can’t know for sure what they’re infringing upon. It’s just that they are playing ball in a gray area and it’s up to researchers like us to stand up and call foul whenever they think that they cross the line. I personally think that they cross the line.)」
猎豹表示,它是在收集用户的网络流量和其他数据,但这么做主要是出于安全考虑。例如,它监控互联网浏览,以确保用户访问的网站不存在危险。它这样做也是为了提供某些服务,比如推荐最近的趋势搜索。
至于获取 Wi-Fi 网络名称,猎豹的回答也大致相同,为了防止用户加入恶意的 Wi-Fi 网络。「我们收集数据并不是为了追踪用户的隐私,我们也无意这么做,」一位发言人说。
猎豹还说,它遵守各个国家和地区隐私法规,没有出售用户的私人数据,也没有将信息发送回中国的服务器,而是发送到国外的一个亚马逊网络服务系统。
两名独立的安全研究人员和 Cirlig 表示,收集信息的方式要安全得多。对于网站和Wi-Fi热点,他们可以将信息转换成「哈希表」——表示网站的随机字母和数字块。机器可以读取它们,并将这些哈希值与之前标记过的恶意网站或 Wi-Fi 网络的哈希值进行比对,而无需人工查看。
猎豹则反驳说,哈希会使它的安全检查变得复杂,因为它需要注意 Wi-Fi 名称的细微变化,比如当0变成"o",或者他们以前不知道的恶意网站。)
《卫报》iOS 安全应用程序的创始人、智能手机隐私问题研究员 Will Strafach 表示,「猎豹没有充分理由收集这些信息。」
安全分析师 Graham Cluley 职业生涯的大部分时间都在反病毒公司工作,他表示,这样的数据收集「显然令人担忧」。「对于一家安全公司来说,有很多方法可以在不需要收集那么多信息的情况下检查威胁,而这些信息可能会被用来威胁用户的隐私。」
来源:
https://www.forbes.com/sites/thomasbrewster/2020/03/03/warning-an-android-security-app-with-1-billion-downloads-is-recording-users-web-browsing/#4e59cc5d2149
https://www.yicai.com/news/100073093.html
https://security.googleblog.com/2020/02/disruptive-ads-enforcement-and-our-new.html
https://www.buzzfeednews.com/article/craigsilverman/google-removes-cheetah-kika-apps
https://www.forbes.com/sites/emmawoollacott/2018/10/25/facebook-fined-645150-over-cambridge-analytica-scandal-and-is-told-its-getting-off-lightly/
https://finance.yahoo.com/news/cheetah-mobile-provides-updates-google-120000843.html
知情人士阿里巴巴将权力下放给各业务部门华尔街日报引述知情人士透露,阿里巴巴首席执行官张勇正在将权力下放给公司各业务部门的主管,以便更灵活地应对日益增多的挑战,并可能为分拆开辟道路。据报道,这些知情人士称,张勇正在把更多
硬科技,到底指的啥?文章首发公众号钻石研报。如果你喜欢投资科技行业,还是长线投资者,不妨静下心来寻找一下未来的我们国家自己的硬科技企业。苹果微软特斯拉都是上一代信息技术催生的硬科技企业,它们的市值都突
互联网底层赚钱思维,普通人也可以快速赚钱我开始接触互联网的时候,每天就是闷着头去干,不仅没有效果反而浪费时间,也没有赚到钱,有时候连生活都成问题,每天就在网上找所谓的赚钱项目,特别是日赚几百几千的项目,后面才发现真的那么
运动相机新玩法,大疆Action2给你答案运动相机的存在已经有了多年了,提起运动相机,大家基本上也都略知一二,其携带便捷,操作方便,深受广大户外运动爱好者的喜欢,这次大疆推出的DJIAction2,将之前的运动相机固有观念
手机老是收到网贷放贷短信,该怎么避免?骗局各种虚假贷款和办卡信息只凭身份证就可以贷款或者办理信用卡的信息让你先支付首月利息履约费保证金保险费担保费放款费公证费征信费抵押金开卡费等等,都是骗局。经常收贷信息的原因个人身份
你有用过锤子和坚果手机吗?好用不?文小伊评科技锤子的系统体验和整机CMF设计至今难忘,但是硬件表现一塌糊涂。不过,如果老罗未来还做手机的话,我依旧会买,依旧会做一个锤粉。我是一个锤子T1和M1L的机主,为了证明真实
为什么专家说房价降了没一点好处,特别是年轻人没有奋斗动力了?2021年年的房地产,可以说是最艰难的一年,许家印孙宏斌纷纷变卖自己的资产,让企业度过这次难关。孙宏斌无息贷款4。5亿美元,用于公司运营,而许家印自掏腰包70亿元,用于每个月的债券
如何阻止某人监视您的手机人们在手机上享有隐私权。但是,随着恶意黑客的增加和第三方应用程序的使用,这种隐私正在减弱。公司和网络犯罪分子希望通过任何方式获取您的数据,并将其用于自己的优势。然而,大多数消费者不
使用拼多多时,这3个设置要尽早关闭,现在知道还不晚分享生活小妙招,享受科技新生活!大家好,欢迎来到今天的知识分享!我是你们的好朋友小俊!越来越多的人都喜欢使用拼多多来购买东西,的确拼多多上的东西不仅便宜而且还种类齐全,也给广大老年
索尼PS5Pro概念渲染图曝光更时尚更圆润PS5已经推出有一年时间了,目前仍供不应求。之前有人爆料称PS5Pro正在紧张开发中,推出时间是2023年到2024年。随着时间推移,网上出现许多关于PS5Pro的讨论,然而新机的
抢都抢不到的索尼A7M4到底有多强?A7M4全画幅微单全面测评在上月各类新品的狂轰滥炸后,索粉们期待已久的7系列也迎来了新一代7IV,在7III发布至今的三年里,它始终是国内全画幅市场中销量最高的主机之一,这次7IV的出现是否能打破上一代的傲