Ratgeber

Test: Clean Master (Boost Antivirus) kontaktiert heimlich Porno-Seiten

Ein Artikel von , veröffentlicht am 05.12.2017
Bild: CC0 Pixabay / geralt

Was kann Clean Master? Die App „Clean Master“ verspricht einen ganzen Blumenstrauß an Verbesserungen und Schutzfunktionen. Unter anderem beendet sie Hintergrundprozesse, löscht vermeintlich unnütze Dateien, leert den Cache und will sogar vor Viren schützen. Für moderne Android-Systeme ist allerdings keine dieser Funktionen wirklich notwendig. Sie beschleunigen das Gerät nicht. Die Leistungsfähigkeit von Apps als „Virenscanner“ […]

Was kann Clean Master?

Die App „Clean Master“ verspricht einen ganzen Blumenstrauß an Verbesserungen und Schutzfunktionen. Unter anderem beendet sie Hintergrundprozesse, löscht vermeintlich unnütze Dateien, leert den Cache und will sogar vor Viren schützen. Für moderne Android-Systeme ist allerdings keine dieser Funktionen wirklich notwendig. Sie beschleunigen das Gerät nicht. Die Leistungsfähigkeit von Apps als "Virenscanner" ist höchst zweifelhaft. Die kostenlose App blendet reichlich Werbung ein.

Anbieter der App ist das Unternehmen Cheetah Mobile mit Hauptsitz in Peking, China.

Warum Funktionen wie Cache leeren oder Hintergrundprozesse beenden bei Android überflüssig sind, erklären wir in unserem Beitrag Android-Cleaner: Was bringen die Systemoptimierer?
Warum Apps gegen Schadprogramme nur unzureichend schützen können, erklären wir im Beitrag Sicherheits-Apps für Android-Geräte.

Unser Test im Überblick

Pikant: Die App stellt im Hintergrund Verbindungen zu Porno-Webseiten her, offenbar, um dort Datenverkehr zu erzeugen. Wir registrierten auch eine Verbindung zu einer Download-Seite für eine Porno-App auf, die zu allem Überfluss auch noch einen Trojaner enthält. Aus unserer Sicht ist das ein klares Auschluss-Kriterium - die App sollte man nicht nutzen.

Angesichts der stolzen Download-Zahl von fast einer Milliarde und zahlreicher positiver Besprechungen in Technik-Magazinen und Blogs stellt sich auch die Frage, wie verlässlich die übliche Technik-Berichterstattung bei Apps eigentlich ist.

Die App verbindet sich zu den Servern von Cheetah Mobile, aber auch zu Drittanbietern wie Facebook und diversen Tracking- und Werbenetzwerken. Bei der Installation von Clean Master verlangt die App Zugriff auf verschiedene Berechtigungen, die nicht zwangsläufig für die Diensterbringung notwendig sind.

Die Datenschutzerklärung von Cheeta Mobile ist nur auf englisch verfügbar - was bei Ansprache deutscher Nutzer nicht ausreichend ist. Sie nennt auch keine Drittanbieter. Insgesamt werden sowohl an Cheetah Mobile als auch an die Drittanbieter eine Vielzahl personenbeziehbarer Informationen übermittelt.

Übermittelte Informationen im Überblick:

  • Android-ID
  • Google Werbe ID
  • Android-Version
  • Eingestellte Sprache / Land
  • Mobilfunkanbieter und -Netz
  • Geräte-Modell und -Hersteller
  • Standort und Ortsname, zum Beispiel Karlsruhe (geschätzt, vermutlich auf Basis der IP-Adresse oder WLAN-Informationen)
  • Installierte Apps

Unsere Testergebnisse im Detail

Getestet haben wir die Version 6.0.8.6431, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Auf welche Daten kann die App zugreifen?

Einige der angeforderten Berechtigungen sind zur Diensterbringung nicht notwendig. So ließe sich die Funktionalität auch ohne Zugriff auf „Kontakte“, oder „Kamera“ realisieren.

Für eine „Antivirus-Funktion“ für Android-Geräte sind die Berechtigungen hingegen unzureichend. Denn dafür müsste eine App genaugenommen Vollzugriff (Root) auf das System haben.

Tippen Sie auf die jeweilige Berechtigung, um zu erfahren, was es damit auf sich hat, oder sehen Sie die ganze Liste in unserem Beitrag App-Berechtigungen entschlüsselt (Android)

Man sollte sich darüber im Klaren sein, dass Clean Master über das Berechtigungsmodell Zugriff auf eine Vielzahl von Informationen und Ressourcen erhält:

Wohin verbindet sich die App?

Pornografie: Während unseres Tests hat die App Clean Master mehrfach unverschlüsselte Verbindungen zu verschiedenen Porno-Seiten geöffnet. Wir halten dieses Verhalten für unangemessen und sicherheitskritisch. Offenbar erzeugt die App im Hintergrund „Datenverkehr“ für Porno-Seiten, die dubiose Weiterleitungen anstoßen.

Wir konnten auch Aufrufe zu einer Webadresse ermitteln, von der man eine Android-App herunterladen kann. Der Dateiendung nach zu urteilen handelt es sich dabei um einen Android Video-Player für Porno-Videos. Aus Neugierde haben wir diese App heruntergeladen und mit einem Scanner auf Schadsoftware prüfen lassen: Der Video-Player beinhaltet einen Schadprogramm (einen Android-Trojaner), der seine Nutzer ausspäht.

Vor diesem Hintergrund können wir von der Nutzung der App Clean Master nur dringend abraten. Eine App, die mit einer Anti-Virus Funktionalität wirbt, kann sich den Aufruf von trojanerverseuchten Porno-Seiten nicht erlauben und setzt den Nutzer unkalkulierbaren Risiken aus.

Cheetah Mobile: Zur Diensterbringung baut die App Verbindungen zu den Servern von Cheetah Mobile auf. Die Kommunikation ist nur zum Teil über den Sicherheitsstandard TLS verschlüsselt, auf eine zusätzliche Absicherung über die Methode des Certificate Pinnings verzichtet der Hersteller.

Was Certificate Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Unter anderem verläuft die Abfrage nach neuen "Viren-Signaturen" über eine unverschlüsselte Verbindung. Hier besteht das Risiko, dass ein Angreifer der App falsche Informationen unterschiebt und die App ihre "Schutzfunktion" nicht ausüben kann - diese ist allerdings sowieso sehr begrenzt.

Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App folgende Informationen unverschlüsselt, die eventuell personenbeziehbar sind:

  • Android-ID
  • Android-Version
  • Eingestellte Sprache
  • Mobilfunknetz (O2) und dessen Länderkennung
  • Geräte-Modell und -Hersteller
  • Netzwerkverbindungstyp, zum Beispiel WLAN und WLAN-Kanal (Frequenz, auf der das WLAN funkt)

Während der App-Nutzung übermittelt die App weitere Informationen an die Server von Cheetah Mobile:

  • Google Werbe-ID
  • Freier Speicher (RAM)
  • Zeitzone
  • Installierte Apps
  • Aktuell aktive Apps
  • Welche Werbung vom Nutzer angetippt wurde

Die App tauscht noch weitere Daten mit den Servern von Cheetah Mobile aus, die aber zusätzlich verschlüsselt sind. Daher können wir keine weiteren Angaben dazu machen.

Facebook: Direkt nach dem Start nimmt die App Verbindung zu Facebook auf. Eine Verbindung zu Facebook wird jedes Mal aufgebaut – auch wenn der Nutzer kein Facebook-Konto besitzt. Facebook erhält neben technischen Informationen wie dem Übertragungszeitpunkt auch folgende Informationen, die eventuell personenbeziehbar sind:

  • Google Werbe ID
  • Versionsnummer und Name der App (Clean Master)
  • Android-Version
  • Netzwerkanbindung (WLAN)
  • Eingestellte Sprache
  • Geräte-Modell und -Hersteller
  • Ob das Gerät gerootet wurde

Mit diesen Informationen könnte Facebook theoretisch eine Verknüpfung mit einem bereits bestehenden Facebook-Konto herstellen, um dem Nutzer dort interessenbezogene Werbung einzublenden.

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Der Grund: Die Entwickler greifen auf diverse Funktionen zurück, die Google App-Entwicklern zur Verfügung stellt. Zum Beispiel die Push-Benachrichtigungen via Google Cloud Messages (GCM) oder Google Analytics zu Analysezwecken.

Über diese Kanäle erhält Google die Rückmeldung, dass der Nutzer Clean Master gestartet hat. Unter anderem werden Informationen zum Google-Konto übermittelt, darunter die E-Mail-Adresse und die Versionsnummer der Google-Play-Dienste.

Werbung: Während unseres Tests konnten wir Verbindungen zu verschiedenen Webadressen identifizieren, die Werbung ausliefern. Darunter Adkmob.com, InMobi oder Google DoubleClick. Die meisten der Werbeanbieter verzichten auf eine verschlüsselte Verbindung und übermitteln folgende Informationen ungeschützt, die eventuell personenbeziehbar sind:

  • Android-ID
  • Google Werbe-ID
  • Eingestellte Sprache / Land
  • Stadt (z.B. Karlsruhe) und Standort (geschätzt, vermutlich auf Basis der IP-Adresse oder WiFi-Informationen)
  • Android-Version
  • Länderkennung der Mobilfunknetzes (Europa, Deutschland)
  • Mobilfunknetz (z.B O2)
  • Geräte-Modell und -Hersteller
  • App-Versionsnummer und Name
  • Netzwerkverbindungstyp, zum Beispiel WLAN und WLAN-Kanal

In Anbetracht der Problematik des sogenannten Malvertisings halten wir die Auslieferung von Werbung über unverschlüsselte Verbindungen für äußerst bedenklich.

 

Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu mehreren Analyse-Plattformen wie AppsFlyer, i2w.io oder Leadbolt aufgebaut. Interessant ist die Einbindung von rayjump.com, einem Anbieter für Spiele, der offensichtlich ebenfalls einen Tracking-Service anbietet. Einige der identifizierten Anbieter übermitteln erfasste Informationen unverschlüsselt. Unter anderem werden folgende Informationen übertragen, die eventuell personenbeziehbar sind:

  • Android-ID
  • Google Werbe ID
  • Eingestellte Sprache / Land
  • Android-Version
  • Mobilfunkanbieter, Mobilfunknetz und dessen Länderkennung
  • Geräte-Modell und -Hersteller
  • Netzwerkverbindungstyp (WLAN)
  • Displayauflösung
  • Ob das Gerät im Portrait- oder Landscape-Modus gehalten wird (verschlüsselt)
  • Ob die Einblendung von Werbung limitiert wird (verschlüsselt)

Wie sicher speichert die App meine Daten?

Bei diesem Kriterium prüfen wir üblicherweise, wie Apps beispielsweise sensible Anmeldeinformationen auf dem Smartphone hinterlegen und wie diese geschützt werden. Für die Nutzung von Clean Master ist allerdings kein Nutzerkonto notwendig, so dass dieser Punkt hier entfällt.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung (Stand: 10.07.2017) verweist auf die Webseite von Cheetah Mobile. Innerhalb der App ist die Datenschutzerklärung über IchEinstellungenDatenschutzrichtlinie erreichbar.

Leider ist die Datenschutzerklärung lediglich in englischer Sprache verfügbar, was nach unserer Auffassung gegen die rechtlichen Bestimmungen in Deutschland verstößt.

Nach unsere Auffassung weist die Datenschutzerklärung nur ungenügend darauf hin, mit welchen Drittanbietern Cheetah Mobile zusammenarbeitet und welche Daten übermittelt werden.

Interessant ist auch, dass Cheetah Mobile nicht nur keine Drittanbieter nennt, sondern auch ausdrücklich darauf hinweist, dass sie für die „Datenschutzpraktiken“ der Drittanbieter nicht verantwortlich sind. Ob dies rechtlich Bestand hätte, darf angezweifelt werden.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Zur Diensterbringung dürfte die App keinerlei personenbeziehbare Daten, wie die eindeutige Android Geräte-ID, an Cheetah Mobile oder sonstige Drittanbieter übermitteln.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Marcel Bokhorst von FairEmail: „Ein geschlossener Quellcode und Datenschutz passen nicht zusammen“

Marcel Bokhorst entwickelt die quelloffene Android-App FairEmail. Neben Transparenz und Datenschutz ist ihm eine intuitive Bedienung wichtig. Dazu arbeitet er das Feedback der Nutzerinnen und Nutzer in die App ein, sagt er im mobilsicher-Interview.

Mehr
Kinder und Jugendliche 

Samsung Kids einrichten – so geht’s

Sie haben ein Samsung-Handy mit Android 9 oder höher und wollen es ab und an Ihrem Kind in die Hand geben? Mit der App „Samsung Kids“ können Sie das Gerät so sichern, dass dabei kein Unglück geschieht. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr
Ratgeber 

Ende-zu-Ende-Verschlüsselung einfach erklärt

Sie gilt als die Königsdisziplin der sicheren Kommunikation im Netz. Doch wie funktioniert Ende-zu-Ende-Verschlüsselung eigentlich? Und warum ist sie bei vielen Messengern längst Standard - bei E-Mails aber nicht? Ein Überblick.

Mehr
Ratgeber 

mytaxi: Taxis bestellen und bezahlen

Mytaxi ist eine kostenlose App, mit der man Taxis bestellen und per Kreditkarte oder PayPal bezahlen kann. Sie ist in vielen Deutschen Städten verfügbar und bietet für Kunden eine Alternative zur Taxizentrale. Hinter mytaxi steht die Daimler AG.

Mehr