En febrero,
Google lanzó
600 aplicaciones de su
Play Store, entre ellos se encontraba una app llamada,
Clean Master, una herramienta de seguridad que promete garantizar un antivirus y navegación privada. Contaba con más de
mil millones de instalaciones antes de ser removida y a pesar de que Google la prohibiera, es una de las más descargadas de
Android y probablemente aún se ejecuta en millones de teléfonos.
Si bien
Google no se ha pronunciado sobre lo que sabía sobre la aplicación, creada por
Cheetah Mobile (empresa china de internet móvil),
Forbes ha descubierto que una compañía de seguridad proporcionó al gigante tecnológico evidencia de que la herramienta recopilaba todo tipo de
datos privados de uso en la web.
Eso incluye los sitios que los usuarios visitaron desde el
modo “privado” que ofrecía la aplicación, sus consultas en los motores de búsqueda, los nombres de puntos de acceso a
Wi-Fi, e incluso información más detallada, como los desplazamientos en las páginas web, de acuerdo a un investigador de la compañía de seguridad, quien le proporcionó información a
Forbes.
Cheetah (empresa pública que cuenta con el gigante tecnológico chino
Tencent como importante inversor) declara que es necesario monitorear a los usuarios para mantenerlos seguros y ofrecerles servicios útiles.
Foto: Benjamin Sow / Unsplash.
Sin embargo, la investigación realizada por
Gabi Cirlig (de la compañía de seguridad cibernética
White Ops) esto se produce tras las acusaciones anteriores de posibles problemas de privacidad con las aplicaciones de
Cheetah.
En 2018,
Google expulsó su aplicación
CM File Manager de su tienda de aplicaciones por incumplir sus políticas sobre fraude publicitario. En ese momento,
Cheetah negó que tuviera la capacidad de reclamar falsos clics en anuncios para obtener ganancias. El año pasado,
VPNpro advirtió sobre los permisos posiblemente “peligrosos” requeridos por los dispositivos, así como su capacidad para instalar aplicaciones.
Según
Cirlig, no es solo se trata de la app
Clean Master, que ha estado vigilando la actividad web de los usuarios. Sino, de otros tres productos de Cheetah (
CM Browser,
CM Launcher y
Security Master) con cientos de millones de descargas con las que se ha hecho lo mismo. El año pasado, el investigador probó las aplicaciones para descubrir su comportamiento, antes de compartir su investigación con
Forbes. Finalmente, encontró que
Cheetah recopilaba la información de los dispositivos, encriptando datos y enviándolos al servidor web:
“ksmobile [.] Com.” A través de ingeniería inversa del proceso de encriptación, determinó qué datos se recolectaban de los teléfonos.
Te puede interesar:
Google, YouTube, Apple y Amazon son las marcas más usadas para el robo de datos
“Técnicamente hablando, tienen una política de privacidad que cubre todo y les da un cheque en blanco para exfiltrar todo. No se puede saber con certeza sobre qué están infringiendo. Sin embargo, es claro que juegan a la pelota en un área gris y depende de los investigadores como yo que tomemos acción y reportemos una falta cada vez que piensan que cruzan la línea. Personalmente, yo creo que sí violan la privacidad”, declaró
Cirlig.
La respuesta del Cheetah
Cheetah declaró que está recopilando el
tráfico web de los usuarios y otros datos, por razones de seguridad. Por ejemplo, monitorea la navegación por Internet para garantizar que los sitios que se visitan no sean peligrosos. También dijo que lo hace con el fin de proporcionar ciertos servicios, como para sugerir búsquedas de
tendencias recientes.
En cuanto al acceso a los nombres de redes
Wi-Fi, Cheetah le comunicó a
Forbes que el razonamiento era muy similar: evitar que los usuarios se unieran a redes maliciosas. “No recopilamos datos para rastrear la privacidad de los usuarios y no tenemos intención de hacerlo”, aclaró un portavoz.
La compañía anunció que cumple con todas las leyes locales de privacidad y que no está vendiendo datos privados de los usuarios ni enviando información a un servidor chino, sino a un sistema de servicios web de
Amazon fuera del país. Sin embargo,
Cirlig, señala que el dominio donde se transmitió la información se registró en China. Recordemos que
Cheetah tiene su sede en
Beijing.
“No hay una buena razón para recopilar datos”
Dos investigadores de seguridad independientes y Cirlig explican que hay formas mucho más seguras de recopilar la información. Cuando se trata de sitios web y puntos de acceso Wi-Fi, se podría convertir la información en
hashes (fragmentos de letras y números aleatorios que representan los sitios web). De esta forma, las máquinas pueden leerlos y verificar dichos
hash con unas bases de datos de sitios web maliciosos o redes Wi-Fi, marcados previamente, sin la necesidad de que los humanos accedan a los datos. Sin embargo,
Cheetah aclara que los
hash complicarían sus comprobaciones de seguridad, ya que necesita buscar cambios sutiles en los nombres de Wi-Fi, como en los casos cuando un cero se cambia a una “o”, o por sitios maliciosos previamente desconocidos.
Will Strafach, fundador de
Guardian (aplicación de seguridad para iOS e investigador de los problemas de privacidad de los teléfonos inteligentes) declaró que “no hay una buena razón para que
Cheetah recopilara esta información”.
Por otro lado,
Graham Cluley, analista de seguridad, quien pasó gran parte de su carrera trabajando para compañías antivirus, comentó que la recopilación de datos era “claramente preocupante”. Existen diversas formas por las que una
empresa de seguridad puede verificar las amenazas sin tener que recopilar tanta información, que podría utilizarse para disminuir la privacidad de los usuarios.
“Incluso si las mismas aplicaciones solicitan permisos, es necesario saber por qué un producto de seguridad necesitaba ciertos datos y luego es sospechoso que la compañía tratara de justificar su enredo”, agregó Cluley.
¿Cuál es el potencial de abuso?
En referencia a la amplitud de la información recopilada por
Cheetah, sería posible volver anónimo a un usuario observando sus hábitos de navegación web, sus puntos de acceso a Wi-Fi y los números de identificación de sus teléfonos, dijo
Cirlig.
“El problema es que están correlacionando el comportamiento del usuario, qué aplicaciones usa su audiencia y en qué sitios navegan con
datos específicos que se pueden vincular fácilmente a una persona real detrás de ese teléfono. Incluso si desea evitar cualquier tipo de seguimiento, no es suficiente cambiar su teléfono, sino toda la infraestructura que se está utilizando”, explica Cirlig.
“Si por alguna razón se descartan todos los
datos personales en el lado del servidor, la enorme base de instalación aún les permite aprovecharlos y despersonalizarlo en un estilo de
Cambridge Analytica“.
White Ops anunció que le informó a Google sobre este comportamiento en diciembre, para febrero,
Cheetah descubrió que las cuentas de AdMob y AdManager habían sido suspendidas por
Google Play Store. En tanto,
Google no ha respondido a las preguntas de
Forbes sobre si las advertencias de White Ops llevaron a la prohibición de Cheetah.
Desde mayo de 2015, Cheetah cotiza en la
Bolsa de Nueva York y está apelando la decisión de
Google, debido a que afirma estar trabajando con el gigante tecnológico para abordar sus preocupaciones. Si no encuentra el camino de regreso a
Google Play, la prohibición afectará seriamente sus ingresos. En los primeros nueve meses de 2019, casi una cuarta parte de los ingresos de
Cheetah Mobile provino de sus servicios alojados en Google.
También lee: Google negocia con editoriales para pagar por contenido noticioso: WSJ