En nyligen genomförd studie visar att cybersäkerhetsprogrammet Clean Master från kinesiska Cheetah Mobile har registrerat mer användardata än vad det troligen borde. Medan den lovar antivirusskydd och privat surfning har appen registrerat surfning på nätet, sökningar och namnet på varje Wi-Fi-åtkomstpunkt som enheten ansluter till.

Rapporten är bara den senaste i raden av kontroverser för företaget och appen. År 2014 upptäcktes att annonser som marknadsförde Clean Master försökte skrämma användare att ladda ner appen med popup-fönster som berättade att ett virus hade infekterat deras enhet. År 2018 anklagades företaget för att bedriva annonsbedrägeri, vilket ledde till att Google tog bort alla Cheetah Mobiles applikationer från Play Store. Oavsett detta förblev appen aktiv och populär och hade över en miljard installationer innan den förbjöds.

En nyligen genomförd studie, som utfördes av forskaren Gabi Cirli från cybersäkerhetsföretaget White Ops, avslöjade att Cheetah hade samlat in data genom sina applikationer, Security Master, Clean Master, CM Browser och CM Launcher. ”Tekniskt sett har de en integritetspolicy som täcker typ allt och ger dem en blankocheck för att exfiltrera allt”, säger Cirlig till Forbes. Han tillade att även om det är oklart om Cheetahs handlingar är straffbara är de nära att överskrida en tydlig gräns.

Cheetah’s Gray Area Of Operation

Cheetah erkände påståendena, men tillade att de inte hade för avsikt att använda data för att äventyra användarnas integritet. Företaget säger att även om huvudkontoret ligger i Peking, Kina, skickar det de data det samlar in till ett avlägset Amazon Web Services-system. Att bedriva verksamhet i ett främmande land, med produkter som endast är tillgängliga via Internet, ger upphov till en stor gråzon. Google tog bort företagets ansökningar på grund av sin egen policy, inte på grund av ett styrande organs policy. På samma sätt straffar den amerikanska Patriot Act endast obehörig åtkomst till en dator. Juridiskt sett kan det som Cheetah har gjort inte tolkas som något annat än Facebooks agerande, ett företag som stämdes av Kalifornien för kränkningar av den personliga integriteten. En viktig skillnad är att Facebook är ett amerikanskt företag, medan Cheetah inte är det.

Med hjälp av sina tillämpningar har Cheetah skapat kataloger av användardata och till den grad att det, om det vore okrypterat, skulle vara lätt att identifiera användarna. Även om Cheetah hävdar att man följer lokala lagar om skydd av privatlivet, ger dess placering i Kina anledning till oro. Regeringen i Fastlandskina kräver att alla företag som verkar inom landets gränser ska kunna dela med sig av information på begäran. Även om det är oklart om Kina skulle göra något med (eller ens vilja ha) dessa uppgifter, finns möjligheten kvar, på grund av var Cheetah verkar.