Was kann Clean Master?
Die App „Clean Master“ verspricht einen ganzen Blumenstrauß an Verbesserungen und Schutzfunktionen. Unter anderem beendet sie Hintergrundprozesse, löscht vermeintlich unnütze Dateien, leert den Cache und will sogar vor Viren schützen. Für moderne Android-Systeme ist allerdings keine dieser Funktionen wirklich notwendig. Sie beschleunigen das Gerät nicht. Die Leistungsfähigkeit von Apps als "Virenscanner" ist höchst zweifelhaft. Die kostenlose App blendet reichlich Werbung ein.
Anbieter der App ist das Unternehmen Cheetah Mobile mit Hauptsitz in Peking, China.
Unser Test im Überblick
Pikant: Die App stellt im Hintergrund Verbindungen zu Porno-Webseiten her, offenbar, um dort Datenverkehr zu erzeugen. Wir registrierten auch eine Verbindung zu einer Download-Seite für eine Porno-App auf, die zu allem Überfluss auch noch einen Trojaner enthält. Aus unserer Sicht ist das ein klares Auschluss-Kriterium - die App sollte man nicht nutzen.
Angesichts der stolzen Download-Zahl von fast einer Milliarde und zahlreicher positiver Besprechungen in Technik-Magazinen und Blogs stellt sich auch die Frage, wie verlässlich die übliche Technik-Berichterstattung bei Apps eigentlich ist.
Die App verbindet sich zu den Servern von Cheetah Mobile, aber auch zu Drittanbietern wie Facebook und diversen Tracking- und Werbenetzwerken. Bei der Installation von Clean Master verlangt die App Zugriff auf verschiedene Berechtigungen, die nicht zwangsläufig für die Diensterbringung notwendig sind.
Die Datenschutzerklärung von Cheeta Mobile ist nur auf englisch verfügbar - was bei Ansprache deutscher Nutzer nicht ausreichend ist. Sie nennt auch keine Drittanbieter. Insgesamt werden sowohl an Cheetah Mobile als auch an die Drittanbieter eine Vielzahl personenbeziehbarer Informationen übermittelt.
Übermittelte Informationen im Überblick:
- Android-ID
- Google Werbe ID
- Android-Version
- Eingestellte Sprache / Land
- Mobilfunkanbieter und -Netz
- Geräte-Modell und -Hersteller
- Standort und Ortsname, zum Beispiel Karlsruhe (geschätzt, vermutlich auf Basis der IP-Adresse oder WLAN-Informationen)
- Installierte Apps
Unsere Testergebnisse im Detail
Getestet haben wir die Version 6.0.8.6431, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.
Auf welche Daten kann die App zugreifen?
Einige der angeforderten Berechtigungen sind zur Diensterbringung nicht notwendig. So ließe sich die Funktionalität auch ohne Zugriff auf „Kontakte“, oder „Kamera“ realisieren.
Für eine „Antivirus-Funktion“ für Android-Geräte sind die Berechtigungen hingegen unzureichend. Denn dafür müsste eine App genaugenommen Vollzugriff (Root) auf das System haben.
Man sollte sich darüber im Klaren sein, dass Clean Master über das Berechtigungsmodell Zugriff auf eine Vielzahl von Informationen und Ressourcen erhält:
- Geräte- & App-Verlauf
- Kontakte
- Telefon
- Fotos/Medien/Dateien
- Kamera
- WLAN-Verbindungsinformationen
- Sonstige
- Nutzungsstatistik der Komponente aktualisieren
- Andere Apps schließen
- Einstellungen und Verknüpfungen auf dem Startbildschirm lesen
- Einstellungen und Verknüpfungen für den Startbildschirm schreiben
- Daten aus dem Internet abrufen
- Netzwerkverbindungen abrufen
- Akkudaten lesen
- Dauerhaften Broadcast senden
- Netzwerkkonnektivität ändern
- WLAN-Verbindungen herstellen und trennen
- Alle Cache-Daten der App löschen
- Statusleiste ein-/ausblenden
- Speicherplatz der App ermitteln
- Zugriff auf alle Netzwerke
- Audio-Einstellungen ändern
- Über anderen Apps einblenden
- Vibrationsalarm steuern
- Ruhezustand deaktivieren
- Systemeinstellungen ändern
- Wecker stellen
- Lesezeichen für Webseiten setzen und das Webprotokoll aufzeichnen
- Verknüpfungen installieren
- Verknüpfungen deinstallieren
Wohin verbindet sich die App?
Pornografie: Während unseres Tests hat die App Clean Master mehrfach unverschlüsselte Verbindungen zu verschiedenen Porno-Seiten geöffnet. Wir halten dieses Verhalten für unangemessen und sicherheitskritisch. Offenbar erzeugt die App im Hintergrund „Datenverkehr“ für Porno-Seiten, die dubiose Weiterleitungen anstoßen.
Wir konnten auch Aufrufe zu einer Webadresse ermitteln, von der man eine Android-App herunterladen kann. Der Dateiendung nach zu urteilen handelt es sich dabei um einen Android Video-Player für Porno-Videos. Aus Neugierde haben wir diese App heruntergeladen und mit einem Scanner auf Schadsoftware prüfen lassen: Der Video-Player beinhaltet einen Schadprogramm (einen Android-Trojaner), der seine Nutzer ausspäht.
Vor diesem Hintergrund können wir von der Nutzung der App Clean Master nur dringend abraten. Eine App, die mit einer Anti-Virus Funktionalität wirbt, kann sich den Aufruf von trojanerverseuchten Porno-Seiten nicht erlauben und setzt den Nutzer unkalkulierbaren Risiken aus.
Cheetah Mobile: Zur Diensterbringung baut die App Verbindungen zu den Servern von Cheetah Mobile auf. Die Kommunikation ist nur zum Teil über den Sicherheitsstandard TLS verschlüsselt, auf eine zusätzliche Absicherung über die Methode des Certificate Pinnings verzichtet der Hersteller.
Unter anderem verläuft die Abfrage nach neuen "Viren-Signaturen" über eine unverschlüsselte Verbindung. Hier besteht das Risiko, dass ein Angreifer der App falsche Informationen unterschiebt und die App ihre "Schutzfunktion" nicht ausüben kann - diese ist allerdings sowieso sehr begrenzt.
Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App folgende Informationen unverschlüsselt, die eventuell personenbeziehbar sind:
- Android-ID
- Android-Version
- Eingestellte Sprache
- Mobilfunknetz (O2) und dessen Länderkennung
- Geräte-Modell und -Hersteller
- Netzwerkverbindungstyp, zum Beispiel WLAN und WLAN-Kanal (Frequenz, auf der das WLAN funkt)
Während der App-Nutzung übermittelt die App weitere Informationen an die Server von Cheetah Mobile:
- Google Werbe-ID
- Freier Speicher (RAM)
- Zeitzone
- Installierte Apps
- Aktuell aktive Apps
- Welche Werbung vom Nutzer angetippt wurde
Die App tauscht noch weitere Daten mit den Servern von Cheetah Mobile aus, die aber zusätzlich verschlüsselt sind. Daher können wir keine weiteren Angaben dazu machen.
Facebook: Direkt nach dem Start nimmt die App Verbindung zu Facebook auf. Eine Verbindung zu Facebook wird jedes Mal aufgebaut – auch wenn der Nutzer kein Facebook-Konto besitzt. Facebook erhält neben technischen Informationen wie dem Übertragungszeitpunkt auch folgende Informationen, die eventuell personenbeziehbar sind:
- Google Werbe ID
- Versionsnummer und Name der App (Clean Master)
- Android-Version
- Netzwerkanbindung (WLAN)
- Eingestellte Sprache
- Geräte-Modell und -Hersteller
- Ob das Gerät gerootet wurde
Mit diesen Informationen könnte Facebook theoretisch eine Verknüpfung mit einem bereits bestehenden Facebook-Konto herstellen, um dem Nutzer dort interessenbezogene Werbung einzublenden.
Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Der Grund: Die Entwickler greifen auf diverse Funktionen zurück, die Google App-Entwicklern zur Verfügung stellt. Zum Beispiel die Push-Benachrichtigungen via Google Cloud Messages (GCM) oder Google Analytics zu Analysezwecken.
Über diese Kanäle erhält Google die Rückmeldung, dass der Nutzer Clean Master gestartet hat. Unter anderem werden Informationen zum Google-Konto übermittelt, darunter die E-Mail-Adresse und die Versionsnummer der Google-Play-Dienste.
Werbung: Während unseres Tests konnten wir Verbindungen zu verschiedenen Webadressen identifizieren, die Werbung ausliefern. Darunter Adkmob.com, InMobi oder Google DoubleClick. Die meisten der Werbeanbieter verzichten auf eine verschlüsselte Verbindung und übermitteln folgende Informationen ungeschützt, die eventuell personenbeziehbar sind:
- Android-ID
- Google Werbe-ID
- Eingestellte Sprache / Land
- Stadt (z.B. Karlsruhe) und Standort (geschätzt, vermutlich auf Basis der IP-Adresse oder WiFi-Informationen)
- Android-Version
- Länderkennung der Mobilfunknetzes (Europa, Deutschland)
- Mobilfunknetz (z.B O2)
- Geräte-Modell und -Hersteller
- App-Versionsnummer und Name
- Netzwerkverbindungstyp, zum Beispiel WLAN und WLAN-Kanal
In Anbetracht der Problematik des sogenannten Malvertisings halten wir die Auslieferung von Werbung über unverschlüsselte Verbindungen für äußerst bedenklich.
Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu mehreren Analyse-Plattformen wie AppsFlyer, i2w.io oder Leadbolt aufgebaut. Interessant ist die Einbindung von rayjump.com, einem Anbieter für Spiele, der offensichtlich ebenfalls einen Tracking-Service anbietet. Einige der identifizierten Anbieter übermitteln erfasste Informationen unverschlüsselt. Unter anderem werden folgende Informationen übertragen, die eventuell personenbeziehbar sind:
- Android-ID
- Google Werbe ID
- Eingestellte Sprache / Land
- Android-Version
- Mobilfunkanbieter, Mobilfunknetz und dessen Länderkennung
- Geräte-Modell und -Hersteller
- Netzwerkverbindungstyp (WLAN)
- Displayauflösung
- Ob das Gerät im Portrait- oder Landscape-Modus gehalten wird (verschlüsselt)
- Ob die Einblendung von Werbung limitiert wird (verschlüsselt)
Wie sicher speichert die App meine Daten?
Bei diesem Kriterium prüfen wir üblicherweise, wie Apps beispielsweise sensible Anmeldeinformationen auf dem Smartphone hinterlegen und wie diese geschützt werden. Für die Nutzung von Clean Master ist allerdings kein Nutzerkonto notwendig, so dass dieser Punkt hier entfällt.
Was sagt die Datenschutzerklärung?
Die im Google Play-Store verlinkte Datenschutzerklärung (Stand: 10.07.2017) verweist auf die Webseite von Cheetah Mobile. Innerhalb der App ist die Datenschutzerklärung über Ich → Einstellungen → Datenschutzrichtlinie erreichbar.
Leider ist die Datenschutzerklärung lediglich in englischer Sprache verfügbar, was nach unserer Auffassung gegen die rechtlichen Bestimmungen in Deutschland verstößt.
Nach unsere Auffassung weist die Datenschutzerklärung nur ungenügend darauf hin, mit welchen Drittanbietern Cheetah Mobile zusammenarbeitet und welche Daten übermittelt werden.
Interessant ist auch, dass Cheetah Mobile nicht nur keine Drittanbieter nennt, sondern auch ausdrücklich darauf hinweist, dass sie für die „Datenschutzpraktiken“ der Drittanbieter nicht verantwortlich sind. Ob dies rechtlich Bestand hätte, darf angezweifelt werden.
Werden nur notwendige Daten erhoben?
Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Zur Diensterbringung dürfte die App keinerlei personenbeziehbare Daten, wie die eindeutige Android Geräte-ID, an Cheetah Mobile oder sonstige Drittanbieter übermitteln.
