En nylig undersøgelse viste, at cybersikkerhedsprogrammet Clean Master fra det kinesiske firma Cheetah Mobile har registreret flere brugerdata, end det sandsynligvis burde. Selv om den lover antivirusbeskyttelse og privat browsing, har appen angiveligt registreret online browsing, søgninger og navnet på hvert Wi-Fi-adgangspunkt, som enheden opretter forbindelse til.

Rapporten er kun den seneste i en række af kontroverser for virksomheden og appen. I 2014 blev det konstateret, at annoncer, der reklamerede for Clean Master, forsøgte at skræmme brugerne til at downloade appen med pop-ups, der fortalte dem, at en virus havde inficeret deres enhed. I 2018 blev selskabet beskyldt for at udføre reklamesvindel, hvilket førte til, at Google fjernede alle Cheetah Mobile’s applikationer fra Play Store. Uanset det forblev appen aktiv og populær og havde over en milliard installationer inden forbuddet.

En nylig undersøgelse, der blev foretaget af forsker Gabi Cirli fra cybersikkerhedsfirmaet White Ops, afslørede, at Cheetah havde indsamlet data gennem sine applikationer Security Master, Clean Master, CM Browser og CM Launcher. “Teknisk set har de en privatlivspolitik, der dækker stort set alt og giver dem en blankocheck til at exfiltrere alt,” siger Cirlig til Forbes. Han tilføjer, at selv om det er uklart, om Cheetahs handlinger er strafbare, er de tæt på at overskride en klar grænse.

Cheetahs gråzone af drift

Cheetah indrømmede påstandene, men tilføjede, at de ikke havde til hensigt at bruge data til at kompromittere brugernes privatliv. Virksomheden siger, at den, selv om dens hovedkvarter ligger i Beijing i Kina, sender de data, den indsamler, til et fjerntliggende Amazon Web Services-system. At operere i et fremmed land med produkter, der kun er tilgængelige via internettet, resulterer i en stor gråzone. Google fjernede virksomhedens applikationer på grund af sine egne politikker og ikke på grund af et styrende organs politikker. På samme måde straffer den amerikanske Patriot Act kun uautoriseret adgang til en computer. Juridisk set kan det, som Cheetah har gjort, ikke fortolkes anderledes end Facebooks handlinger, en virksomhed, der blev sagsøgt af Californien for overtrædelse af privatlivets fred. En væsentlig forskel er, at Facebook er en amerikansk baseret virksomhed, mens Cheetah ikke er det.

Gennem sine applikationer har Cheetah skabt kataloger af brugerdata og i en sådan grad, at det, hvis de var ukrypterede, ville være let at identificere brugerne. Selv om Cheetah hævder at overholde de lokale love om beskyttelse af privatlivets fred, giver dets placering i Kina anledning til bekymring. Regeringen på det kinesiske fastland kræver, at alle virksomheder, der opererer inden for landets grænser, skal være i stand til at dele oplysninger, hvis de bliver bedt om det. Selv om det fortsat er uklart, om Kina ville gøre noget med (eller overhovedet ønsker) disse data, er muligheden der fortsat, på grund af hvor Cheetah opererer fra.