Eine kürzlich durchgeführte Studie hat ergeben, dass die Cybersicherheitsanwendung Clean Master des chinesischen Unternehmens Cheetah Mobile mehr Nutzerdaten aufgezeichnet hat, als sie wahrscheinlich sollte. Die App verspricht zwar Virenschutz und privates Surfen, zeichnet aber Online-Surfen, Suchvorgänge und den Namen jedes Wi-Fi-Zugangspunkts auf, mit dem sich das Gerät verbindet.
Der Bericht ist nur der jüngste in einer Reihe von Kontroversen um das Unternehmen und die App. Im Jahr 2014 wurde festgestellt, dass Anzeigen, die für Clean Master warben, versuchten, Nutzer mit Pop-ups, die ihnen mitteilten, dass ihr Gerät mit einem Virus infiziert war, zum Herunterladen der App zu verleiten. Im Jahr 2018 wurde das Unternehmen beschuldigt, Anzeigenbetrug zu betreiben, was dazu führte, dass Google alle Anwendungen von Cheetah Mobile aus dem Play Store entfernte. Nichtsdestotrotz blieb die App aktiv und beliebt und hatte vor ihrem Verbot über eine Milliarde Installationen.
Eine kürzlich durchgeführte Studie der Forscherin Gabi Cirli von der Cybersicherheitsfirma White Ops ergab, dass Cheetah über seine Anwendungen Security Master, Clean Master, CM Browser und CM Launcher Daten gesammelt hat. „Technisch gesehen haben sie eine Datenschutzrichtlinie, die so ziemlich alles abdeckt und ihnen einen Blankoscheck gibt, um alles zu exfiltrieren“, so Cirli gegenüber Forbes. Er fügte hinzu, dass es zwar unklar ist, ob Cheetahs Handlungen strafbar sind, dass sie aber nahe daran sind, eine klare Grenze zu überschreiten.
Cheetah’s Gray Area Of Operation
Cheetah gab die Vorwürfe zu, fügte aber hinzu, dass es nicht die Absicht hatte, Daten zu verwenden, um die Privatsphäre der Nutzer zu gefährden. Das Unternehmen gibt an, dass es seinen Hauptsitz in Peking, China, hat und die gesammelten Daten an ein entferntes Amazon Web Services-System sendet. Der Betrieb in einem fremden Land, dessen Produkte nur über das Internet zugänglich sind, führt zu einer großen Grauzone. Google hat die Anwendungen des Unternehmens aufgrund seiner Richtlinien entfernt, nicht aufgrund derjenigen einer Regierungsbehörde. In ähnlicher Weise bestraft der US Patriot Act nur den unbefugten Zugriff auf einen Computer. Rechtlich gesehen unterscheidet sich das Vorgehen von Cheetah nicht vom Vorgehen von Facebook, einem Unternehmen, das von Kalifornien wegen Verletzung des Datenschutzes verklagt wurde. Ein wesentlicher Unterschied besteht darin, dass Facebook ein in den USA ansässiges Unternehmen ist, Cheetah hingegen nicht.
Mit seinen Anwendungen hat Cheetah Kataloge von Benutzerdaten erstellt, die so umfangreich sind, dass sie, wenn sie nicht verschlüsselt sind, leicht zu identifizieren sind. Cheetah behauptet zwar, sich an die lokalen Datenschutzgesetze zu halten, sein Standort in China gibt jedoch Anlass zur Sorge. Die Regierung des chinesischen Festlandes verlangt von allen Unternehmen, die innerhalb ihrer Grenzen tätig sind, dass sie auf Anfrage Informationen weitergeben können. Es ist zwar unklar, ob China mit diesen Daten etwas anfangen kann (oder sie überhaupt will), aber die Möglichkeit besteht, da Cheetah von dort aus operiert.