Inkognitó módban is Pekingbe továbbították a felhasználók adatait, Indiában be is tiltották az appot. Nem ez az első eset, hogy kínai techcég a felhasználók után kémkedik.
A kínai Alibaba vállalat tulajdonában álló UC Browser letöltésekor – akár az androidos Google Play Áruházból, vagy az Apple iOS App Store-ból – ebben a hónapban azzal az ígérettel találhattuk szembe magunkat, hogy az alkalmazás nem jegyzi meg az internetes böngészési előzményeinket az ún. inkognitó módban. Az Alibaba leányvállalata, az Ucweb által fejlesztett, szerte a világon, főleg Ázsiában, rendkívül népszerű applikáció olyan ígértekkel is kecsegtet, mint például a gyors letöltési sebesség, ezért is lett nagyon népszerű. Androidos készülékekre mintegy 500 milliószor töltötték már le az alkalmazást – írja az amerikai Forbes.
Egy elemzés szerint az UC Browser a felhasználók száma alapján a világ negyedik legnépszerűbb böngészője. Az UC Browser volt az egyik legnépszerűbb böngésző, például, Indiában, mígnem az indiai kormány biztonsági okokra hivatkozva betiltotta a kínai applikációkat az országban.
Hatékonyan tudták lekövetni a felhasználókat
Az Ucweb adatvédelemmel kapcsolatos fogadalmai ugyanakkor félrevezetőek Gabi Cirlig, IT-biztonsági kutató szerint. Cirlig megállapításai alapján, amelyeket két másik független kutató is megerősített az amerikai Forbesnak, az UC Browser mind androidos, mind iOS verziója továbbítja az Ucweb tulajdonában álló szerverek felé azokat az oldalakat, amelyeket a felhasználó meglátogatott, függetlenül attól, hogy ezt inkognitó módban tette vagy sem. Cirlig azt is megemlíti, hogy az IP-címeket – amelyek alapján nagyjából leszűkíthető a felhasználó tartózkodási helye egy városra, vagy környékre – is továbbítják az Alibaba kezében lévő szerverekre. Ezeket a szervereket Kínában regisztrálták, és a kínai kiterjesztésű .cn domain névre végződnek, ám az Amerikai Egyesült Államokban találhatóak. Minden felhasználóhoz rendeltek egy azonosító számot is, amely segítségével a kínai cég hatékonyan nyomon követheti a felhasználók különböző weboldalakon végzett tevékenységeit. Ugyanakkor jelenleg még nem derült fény arra, hogy az Alibaba és leányvállalata mire használja ezeket az adatokat. „Így könnyedén beazonosíthatják a felhasználókat és valós személyekhez köthetik őket.” – írta Cirlig egy blogbejegyzésben.
Cirlignek sikerült titkosított adatokat visszafejtenie, majd a kulcs feltörését követően láthatta, hogy valahányszor ellátogat egy weboldalra,
az adatokat titkosítják és továbbítják Pekingbe, az Alibaba cégnek.
Az iOS operációs rendszerű eszközökön mondhatni nem is volt szükség a titkosítás visszafejtésére (ennek ellenére adatátvitel során titkosították az adatokat).
„A felhasználók ily módon történő követése szándékosan történik anélkül, hogy figyelembe vennék magánéletüket” – mondta Cirlig az amerikai Forbesnak. A Google tulajdonában álló Chrome ezzel szemben inkognitó módban nem továbbítja a felhasználók böngészési adatait. Cirlig szemügyre vette a főbb böngészőket, és arra következtetésre jutott, hogy egyik sem követi az UC Browser példáját. Emellett hozzátette még, hogy habár a sütik hasonlóképpen követhetik a felhasználókat, ez mégsem egyenlő azzal, minthogy „a böngésző megkaparintja az URL-eket, beteszi őket egy aktatáskába, és elfut velük.”
Cirlig bizonyítékul megmutatta videójában, hogy mi is történt, amikor a UC Browsert használta, valamint hogyan csatoltak hozzá egy egyedi azonosító számot.
Az Alibaba tulajdonában álló applikáció iOS verziójával azonban más gond is van. A felhasználók nem voltak tisztában böngészési adataik gyűjtésével, mivel az applikációt nem frissítették azután, hogy az Apple új funkciót adott az Apple Store-hoz, amely részletezi az alkalmazások adatvédelmi gyakorlatát. Múlt héten azonban az Apple Store ezzel az előre meg nem határozott és be nem jelentett frissítéssel elérte, hogy az egyedi azonosítókon és keresési előzményeken keresztül történő adatgyűjtés szerepeljen az applikáció adatvédelmi tájékoztatójában, azonban a böngészés megfigyeléséről szóló részletek még mindig nem kerültek nyilvánosságra.
Kedd reggeltől az UC Browser angol nyelvű verziója a kínaitól eltérően nem elérhető az App Store-ban. (Cirlig szerint, úgy tűnik, hogy a két verzió különböző adatokat továbbított.) Egyelőre nem tisztázott, hogy miért távolították el az angol verziót, míg a Google Play áruházában továbbra is elérhető. Eddig egyetlen érintett vállalat – Alibaba, Apple vagy a Google – többszöri kérés után sem tett közzé nyilatkozatot.
Idegeskednek Pekingben is
Nicolas Agnese, argentin kiberbiztonsági kutató is megerősítette a UC Web applikáció és az Iphone közti történéseket. Emellett Agnese egy újabb kérdést is felvetett, miszerint ugyan az iOS bizonyos szempontból „igen biztonságos”, mégis aggódik, hogy milyen adatvédelmet sértő gyakorlatokat fognak engedélyezni az alkalmazásokon, amint átjutnak az App Store felülvizsgálati rendszerén.
Az amerikai The Information híroldalon áprilisban megjelent cikk szerint a 600 millió dolláros piaci kapitalizációval rendelkező Alibaba nyugtalankodik az Apple úgynevezett App Tracking Transparency funkciója miatt, amely lehetővé teszi a felhasználók számára, hogy letiltsák az alkalmazásokat,
így azok nem tudják követni az internetes tevékenységeiket.
Az Alibaba üzleti modellje olyan reklámokra épül, amelyek szintén a felhasználók értékes adatait használják fel. Az Iphone szigorú adatvédelmi politikája bizony jelentős gondokat okoz az Alibabához hasonló vállalatoknak, ennek egyik első kézzelfogható jele pedig, hogy a kínai cég egyik legnépszerűbb alkalmazása elérhetetlenné vált az App Store-ban.
Kína máskor is kémkedett már a felhasználók után
Nem ez az első eset, amikor azon kapták Kína technológiai óriásvállalatait, hogy adatokat gyűjtenek a felhasználókról. Cirlig tavaly a UC Browser-hez hasonló gondokat figyelt meg a Xiaomi böngészőjén is, amely a Xiaomi kínai óriásvállalat telefonjain az alapértelmezett böngésző.
Az alkalmazás még inkognitó módban is megjegyzett minden weboldalt, amelyet meglátogatott a felhasználó, akárcsak a UC Browser.
Habár a cég tagadta a kutatók állításait, később az alkalmazás frissítésével a felhasználók lehetőséget kaptak arra, hogy megtagadják a névtelen, összesített adatok gyűjtését. Ez az újítás nem sokkal azután történt, hogy Cirlig egy másik, a New Yorki-i tőzsdén is jegyzett kínai alkalmazásfejlesztő céget, a Cheetah Mobile-t is leleplezte.
A cég egyik alkalmazásának „privát” böngészője többek között információkat gyűjtött az internethasználatról és a wifi hozzáférési pontok neveiről. Csupán az applikáció megfelelő működése miatt volt szükségük ezekre az adatokra, valamint, hogy biztosítani tudják, hogy a felhasználók nem látogatnak veszélyes weboldalakat – állította a Cheetah.
Fordította: Poesz Nikolett
