Nur wenige Menschen kennen den Namen "Cheetah Mobile" (CM). Umso mehr Menschen nutzen Software des chinesischen Unternehmens. Vermutlich weiß aber nur ein Bruchteil von ihnen, dass sie damit massenhaft Daten preisgeben und mutmaßlich Werbebetrug in großem Stil ermöglichen.
Die Apps von CM wurden im Google Play Store mehrere Milliarden Mal heruntergeladenen. Das Unternehmen ist nach Google, Facebook and Apple der viertgrößte Entwickler mobiler Software. Programme wie "Clean Master" (mehr als eine Milliarde Downloads, 4,7 von 5 Sternen) sind auch in Deutschland beliebt und weit verbreitet. Mehr als 600 Millionen Menschen verwendeten seine Apps jeden Monat, schreibt CM auf seiner Webseite. Ihre Smartphone-Nutzung solle "smarter, schneller und sicherer" werden.
Es gibt begründete Zweifel, ob das mehr ist als ein leeres Marketing-Versprechen. Wie Buzzfeed berichtet, soll der Cheetah (Gepard) ein Cheater sein. CM habe ahnungslose Nutzer missbraucht, um andere App-Entwickler abzuzocken.
Das System lässt sich mit einem Beispiel aus der analogen Welt erklären: Ein betrügerischer Makler beobachtet Immobilienkäufer. Kurz bevor sie den Kaufvertrag unterzeichnen, manipuliert er das Dokument. Plötzlich enthält der Vertrag eine Vermittlungsleistung des Maklers, die dieser aber gar nicht geleistet hat. Trotzdem kassiert er vom Verkäufer die Provision.
CM soll ähnlich vorgegangen sein, will die App-Analysefirma Kochava herausgefunden haben, auf die Buzzfeed seinen Bericht stützt. Wenn ein Nutzer eine der sieben betroffenen Apps auf seinem Smartphone hatte, sollen diese alle weiteren Downloads überwacht haben. CM habe sich dann in den Installationsprozess geschoben. Dabei soll die Software des Unternehmens so getan haben, als sei der Nutzer über eine Anzeige in einer der CM-Programme auf die andere App gestoßen. Denn dafür zahlen manche Entwickler Provisionen von bis zu drei US-Dollar pro Installation.
CM droht mit rechtlichen Schritten
Der Analyse zufolge sind sieben CM-Apps betroffen: Clean Master, Security Master, CM Launcher 3D, Battery Doctor, Cheetah Keyboard, CM Locker und CM File Manager. Zusammen wurden die Programme mehr als zwei Milliarden Mal installiert, alle werden im Durchschnitt mit 4,4 bis 4,7 Sternen bewertet. Auch Kika Keyboard soll dieselbe Betrugsmasche angewendet haben. Hinter der Tastatur-App steckt das Unternehmen Kika Tech, in das CM 2016 eine zweistellige Millionensumme investierte.
In einer ersten Reaktion entfernte CM zwei der mutmaßlich betroffenen Apps aus dem Google Play Store und machte Software-Komponenten von Dritten verantwortlich. Kochava wies diese Erklärung als Ausrede zurück, woraufhin CM nachlegte. In einem zweiten Statement prangerte das Unternehmen "zahlreiche unwahre und irreführende Behauptungen" an, und beauftragte eine Kanzlei, rechtliche Schritte gegen Kochava zu prüfen. In einer weiteren Pressemitteilung warf CM Kochava Falschbehauptungen, Voreingenommenheit und technische Fehler bei der Analyse vor. Allerdings ist mit Method Media Intelligence noch eine weitere IT-Firma zu denselben Schlüssen gelangt wie Kochava. Darauf geht CM nicht ein.
Netzwerkverbindungen zu einer Porno-App mit Trojaner
Unabhängig davon, ob alle Vorwürfe aus dem Buzzfeed-Artikel stimmen, sollten sich Nutzer gut überlegen, ob sie Apps von CM installieren wollen. Der Hersteller ist bereits mehrfach unangenehm aufgefallen. In vielen Android-Foren reicht es deshalb, den Namen des Unternehmens zu erwähnen, um eine Flut wütender Kommentare auszulösen.
Dazu haben auch die Analysen den IT-Sicherheitsforschers Mike Kuketz beigetragen. Ihm zufolge stellt die Anti-Virus- und Sicherheits-App des Unternehmens in Wahrheit selbst ein Sicherheitsrisiko dar. Der Update-Prozess sei anfällig für Angriffe, die App baue unverschlüsselte Netzwerkverbindungen auf und teile Nutzerdaten mit Dritten, schrieb Kuketz bereits 2015.
Im vergangenen Jahr nahm er sich den Clean Master vor, die App schützt angeblich das Smartphone und bereinigt es von überflüssigen Daten. Tatsächlich baue die App im Hintergrund eine Verbindung zu einer Download-Seite für eine Porno-App auf, die einen Trojaner enthielt, und übermittle Daten an diverse Tracking- und Werbenetzwerke. "Sicherheit geht anders - die App ist eher mit einer Schadsoftware vergleichbar", konstatierte Kuketz. Die SZ konfrontierte den Hersteller damals mit den Ergebnissen des Tests von Mobilsicher, wo Kuketz seine Analyse veröffentlichte. CM antwortete nur ausweichend und verwies auf einen Virenscan der eigenen App, der keine positiven Befunde zeige. Das hatte mit der Anfrage aber gar nichts zu tun.
Die Apps von CM enthalten keine Schadsoftware und greifen keine Passwörter ab - wohl aber alle anderen Informationen, die sie kriegen können. Der Werbechef nennt das Unternehmen eine "Datenfirma" und sagt: "Wir wissen, für welche Apps sich der Nutzer interessiert, und das ermöglicht es uns, diesen Nutzern Anzeigen auf den Leib zu schneidern." CM brüstet sich damit, "große Mengen weltweiter Nutzerdaten" zu besitzen, arbeitet mit knapp 20 Werbenetzwerken zusammen und buhlt mit "intelligentem Targeting" um Werbekunden. In diesem Blogpost zeigt ein Android-Entwickler, wie viel CM über seine Nutzer weiß.
Wer eine CM-App installiert, erteilt teils Dutzende Berechtigungen. Der CM Launcher etwa kann alle laufenden Apps protokollieren, "sensible Log-Daten" mitlesen, den Browser-Verlauf abgreifen, Termine und Kontakte sehen und editieren, erhält Zugriff auf den Standort und die Telefonverbindungen, liest ein- und ausgehende SMS. Er kann Fotos und Videos aufnehmen und Dateien im internen Speicher betrachten, Systemeinstellungen verändern, Nutzerkonten anlegen und die Netzwerkverbindungen aufzeichnen. Das ist nur ein kleiner Auszug aus der sehr langen Liste der Berechtigungen, die viele Nutzer akzeptieren, ohne sich auch nur anzusehen, was sie da gerade abnicken.
Die großen Android-Hersteller schauen dabei nicht nur tatenlos zu, sondern helfen kräftig mit. Samsung hat lange Zeit mit CM kooperiert und dessen Dienste direkt in seine Galaxy-Smartphones integriert. Noch immer bietet Samsung auf seiner Webseite eine Anleitung an, wie Nutzer den Clean Master installieren können. Auch Google lässt datenhungrigen App-Entwicklern freie Hand. Im Play Store hat Google die Apps von CM immer wieder hervorgehoben und beworben. Ein Blogeintrag, der die Zusammenarbeit mit CM bei der Integration von Video-Werbung pries, ist mittlerweile verschwunden und nur noch über Archive.org auffindbar.
Siftung Warentest warnt vor Optimierungs-Apps
Doch es ist nicht genug, sich nur auf CM zu konzentrieren. Zum einen, weil das Unternehmen einige Apps unter anderem Namen vertreibt. Der Hersteller steckt etwa auch hinter SafeWallet (Entwicklername im Play Store: "SafeWallet Inc.") und Coin Master ("Coin Master Studio"), die er auf seiner Webseite zum eigenen Portfolio zählt. Hinzu kommen Dutzende Spiele, die CM unter dem Namen "Cheetah Games" vertreibt.
Zum anderen geht das Problem weit über CM hinaus. Das Unternehmen mag einer der größten Anbieter dubioser Apps sein, aber es ist nicht der einzige. Der Google Play Store quillt über vor unnötiger und teils unseriöser Software. Hinter vielen selbsternannten Cleanern, Battery-Boostern oder Anti-Viren-Apps stecken Firmen, die in erster Linie an den Daten der Nutzer interessiert sind, um diese zu vermarkten.
Vor drei Jahren nahmen Verbraucherschützer 13 dieser vermeintlichen Optimierungs-Apps unter die Lupe. "Die angepriesenen Leistungssteigerungen sind nicht mehr als leere Versprechungen", schrieb die Stiftung Warentest damals. Schlimmer noch: "Nahezu alle Apps senden sensible Daten, mit denen Nutzerprofile erstellt werden können. Oft übertragen sie solche Daten sogar unverschlüsselt."
Millionen Menschen geben Entwicklern Zugriff auf ihr Smartphone
Daran hat sich bis heute kaum etwas geändert. Fast alle Tuning Apps sind im besten Fall nutzlos, im schlechtesten Fall gefährlich. Es gibt nur wenige Ausnahmen wie das empfehlenswerte Programm SD Maid, dessen Entwickler auch auf vollmundige Werbeversprechen verzichtet. Das Gleiche gilt für Sicherheits-Apps: Besser als Virenschutzprogramme schützt der eigene Verstand.
Kaum jemand würde Fremde ungefragt in die Wohnung lassen und alle Schränke durchwühlen lassen - aber Millionen Menschen geben Entwicklern Zugriff auf ihr Smartphone, auf dem teils noch sensiblere Daten liegen. Wer Apps installiert, sollte alle Berechtigungen kontrollieren und überlegen, ob sie notwendig sind. Anders als bei Apple findet immer wieder Schadsoftware den Weg in den Google Play Store. Der Name Google garantiert dort keine Sicherheit.