MIéRCOLES, 27 DE NOV

Una app con mil millones de descargas, eliminada por Google por espionaje

En febrero, el gigante de Internet borró 600 aplicaciones de su Play Store, y entre ellas una herramienta encargada de seguridad que promete protección con antivirus y navegación privada, que fue una de las más descargadas de la historia de Android pero tendría un oscuro prontuario.

 

En febrero, Google borró 600 aplicaciones de su Play Store. Una de las expulsadas es Clean Master, una herramienta de seguridad que promete protección con antivirus y navegación privada.

Había sido instalada más de 1.000 millones de veces antes de que la borraran y a pesar de que Google la prohibió, es una de las aplicaciones para Android más descargadas de la historia y probablemente siga presente en millones de celulares.

Aunque Google no comentó qué sabía sobre la aplicación, creada por la empresa china Cheetah Mobile, Forbes se enteró de que una compañía de seguridad le mostró al gigante de la tecnología pruebas de que la herramienta recopilaba todo tipo de datos privados sobre el uso de internet.

Entre esos datos están los sitios web que visitaron los usuarios en el navegador “privado” de la aplicación, sus consultas a motores de búsqueda y los nombres de sus puntos de acceso de Wi-Fi, y también información más específica, como la forma en la que deslizaron la pantalla en las páginas web que visitaron, según el investigador de la empresa de seguridad, que también le aportó la información a Forbes.

Cheetah, una empresa que cotiza en bolsa y cuenta entre sus principales inversores a Tencent, el gigante chino de la tecnología, afirma que necesita monitorear a los usuarios para protegerlos y ofrecerles servicios útiles.

Pero el estudio realizado por Gabi Cirlig, un investigador de la empresa de ciberseguridad White Ops, no constituye la primera acusación de violaciones a la privacidad contra las aplicaciones de Cheetah. En 2018, Google borró de su tienda otra aplicación suya, CM File Manager, por violar sus políticas sobre anuncios fraudulentos. El año pasado, VPNpro lanzó una advertencia contra los permisos potencialmente “peligrosos” que exigían los dispositivos, como la posibilidad de instalar aplicaciones.

Según Cirlig, otros tres productos de Cheetah —CM Browser, CM Launcher y Security Master—, aplicaciones descargadas de cientos de millones de veces, hacen lo mismo. El investigador revisó las aplicaciones el año pasado y descubrió su conducta antes de divulgar los resultados de su estudio a Forbes. Cirlig descubrió que Cheetah recopilaba la información de los dispositivos, encriptaba los datos y los enviaba a un servidor web, ksmobile[.]com. Revirtiendo el proceso de encriptación, Cirlig pudo determinar que los datos se compilaban de los teléfonos de los usuarios.

“Técnicamente, tienen una política de privacidad que cubre prácticamente todo y les da carta blanca para llevarse todo”, afirma Cirlig.

La respuesta de Cheetah

Cheetah afirma que sí compila datos sobre el tráfico web de sus usuarios y otras cosas, pero que lo hace ante todo por motivos de seguridad. Por ejemplo, monitorea la navegación por internet para garantizar que los sitios que están visitando los usuarios no sean peligrosos y para brindar ciertos servicios, como sugerir tendencias de búsqueda recientes.

En cuanto a los nombres de las redes Wi-Fi, Cheetah declaró a Forbes que era prácticamente por la misma razón: para impedir que los usuarios se conecten a redes Wi-Fi maliciosas. “No compilamos datos para hacer un seguimiento de la privacidad de los usuarios ni pretendemos hacerlo”, declaró un portavoz.

La empresa sostiene que respeta todas las leyes locales sobre privacidad, que no vende los datos privados de sus usuarios y que no reenvía la información a un servidor chino, sino a un sistema de Amazon Web Services fuera de China.

“Incluso si las propias aplicaciones solicitaran los permisos, yo esperaría que un producto de seguridad explicara por qué necesita ciertos datos y tratara de justificar el robo de datos”, afirmó el analista de seguridad Graham Cluley. “Aunque por alguna razón borraran todos los datos personales en el servidor, la base instalada espantosamente grande que tienen les permitiría usar sus datos despersonalizados como hizo Cambridge Analytica”.

Fuente: Forbes

Últimas Noticias