[Mise à jour: réponse de Google] Cheetah Mobile est accusé d'avoir commis une fraude publicitaire dans plusieurs applications.

Avec plus de 2, 6 millions d'applications à prendre en compte dans le Play Store, Google est constamment en guerre contre les applications frauduleuses et malveillantes qui minent leur écosystème. En même temps, Google essaie de promouvoir des applications de haute qualité pour que les utilisateurs puissent en profiter, bien que les applications qu'ils sélectionnent soient parfois de qualité douteuse. Cheetah Mobile est peut-être l’une des sociétés de développement les plus connues parmi nos utilisateurs en raison de sa pratique consistant à collecter des données sur les utilisateurs et à diffuser des tonnes d’annonces fragmentaires. Leur acquisition de QuickPic a conduit de nombreux membres à se battre pour une alternative à l’application autrefois hautement recommandée de la galerie. Malgré la piètre qualité des produits de Cheetah Mobile, nous n’avions aucune raison de les soupçonner de quelque chose de vraiment malveillant - jusqu’à présent. La dernière étude de Kochava a fourni à BuzzFeed News la preuve que plusieurs applications Android de Cheetah Mobile, et une de Kika, se seraient livrées à une fraude publicitaire.

Un peu de fond

Cheetah Mobile, bien connu pour avoir développé des applications sur Android, est une entreprise qui se concentre sur la vente de données *. Ils ne cachent pas ce fait du tout, même si de nombreux utilisateurs l'ignorent. Cependant, il est difficile pour les utilisateurs de dire exactement comment Cheetah Mobile utilise les données qu'ils collectent. Clean Master, une application de CM avec plus d'un milliard de téléchargements, est conçue pour nettoyer le cache sur un périphérique Android. Kochava accuse cependant Cheetah Mobile d’utiliser des autorisations supplémentaires dans des applications comme Clean Master dans le cadre d’un stratagème frauduleux.

Kika Keyboard est une application de clavier tierce populaire sur le Play Store avec plus de 200 millions de téléchargements, selon AppBrain. Kika Keyboard n'appartient pas à Cheetah Mobile, mais l'application a apparemment également été impliquée dans des pratiques similaires.

* Cheetah Mobile exploite un service appelé «Cheetah Data» qui «construit des indices de produits complets en fonction de la quantité énorme de données accumulées dans la matrice de produits de Cheetah Mobile». Merci à Till Kottmann de nous l'avoir signalé!

Capture d'écran du site Web Cheetah Data.

Les clients payants du service Cheetah Data ont accès aux données analytiques collectées.

Cheetah Data sources de données à partir de dizaines d'applications Android Cheetah Mobile.

Fraude publicitaire

Pour récupérer les coûts de développement, certains développeurs génèrent des revenus en plaçant des publicités dans leurs applications. Les développeurs peuvent parfois obtenir un bonus pour orienter les utilisateurs vers d'autres applications affichées dans les annonces. Le bonus peut varier de 0, 50 $ à 3, 00 $, en général. Le système fonctionne comme suit: vous affichez une publicité montrant une autre application, l'utilisateur télécharge l'application sponsorisée et l'exécute, puis l'application qui l'a parrainée attribue un bonus au développeur de l'application référente. Kochava affirme, via le rapport de BuzzFeed News, que Cheetah Mobile réclame des bonus pour les parrainages lorsque leurs applications ne jouent peut-être pas un rôle direct dans le parrainage de l'utilisateur pour télécharger une application. Si cela est vrai, cela générerait des gains nets en argent provenant de Google et des développeurs ayant monétisé leur application via des publicités. Voici comment le processus de renvoi d'annonce fonctionne généralement (image de gauche) par rapport à un processus de renvoi d'annonce hypothétique détourné (image de droite). Images courtoisie de BuzzFeed News .

Cela serait possible en sélectionnant l’API Google Play Install Referrer, à laquelle CM Master et la plupart des applications CM ont accès. Les recherches de Kochava ont également révélé que Cheetah Mobile utilisait principalement des bibliothèques et des API développées en interne dans ses applications dans le cadre de ce schéma, sur lequel Cheetah Mobile affirmait être toutes des API tierces sur lesquelles il n'avait aucun contrôle.

Applications concernées

Voici une liste des applications qui auraient été interceptées et qui auraient participé au stratagème publicitaire frauduleux. Si vous en avez installé sur l’un de vos appareils Android, nous vous recommandons de les désinstaller immédiatement.

  1. Clean Master
  2. Maître de sécurité
  3. CM Launcher 3D
  4. Kika Keyboard (appartenant à Kika Tech)
  5. Batterie docteur
  6. Clavier Guépard
  7. CM Locker
  8. Gestionnaire de fichiers CM

Ce qui est alarmant, c'est que certains des plus grands fabricants de périphériques au monde ont déjà utilisé ces applications. Par exemple, Samsung encourage Clean Master en l'implémentant dans Samsung Experience et en guidant les utilisateurs sur l'installation de l'application. Microsoft s’est associé à Cheetah Mobile pour implémenter Cortana, l’assistant numérique de la société, dans CM Launcher 3D.

Conclusion et déclarations de Cheetah Mobile

Comme vous vous en doutez, l'intérêt principal de Cheetah Mobile est de vendre vos données. Mais ce dernier développement montre qu'ils peuvent être prêts à aller plus loin en utilisant les autorisations accordées à leurs applications. Le système de fraude publicitaire, s’il est vrai, abuse de la confiance des utilisateurs et des revenus non seulement de Google, mais également des développeurs qui devraient recevoir le bonus de parrainage en premier lieu. Nous espérons que Google poursuivra son enquête sur ces applications et, si elles corroborent les conclusions de Kochava, supprimez-les du Play Store. En ce qui concerne les utilisateurs, nous vous recommandons de désinstaller les applications répertoriées dans la section précédente tout en gardant à l'esprit que la liste peut ne pas être exhaustive. Pour sécuriser votre appareil, assurez-vous de toujours vérifier les autorisations demandées par une application et effectuez des recherches sur l'équipe se trouvant derrière l'application.

Si vous souhaitez lire l'intégralité des déclarations de Cheetah Mobile et de Kika, suivez le lien vers le rapport original de Buzzfeed News . Cheetah Mobile a également fait un suivi à ce sujet via un communiqué de presse, indiquant que la société "communiquait avec tous les fournisseurs de SDK pour enquêter sur les allégations". Le communiqué de presse indique ensuite que CM "s'engage à empêcher tout SDK intégré dans ses applications ne doivent pas se livrer à des activités inappropriées et suspendront la coopération commerciale avec les fournisseurs de SDK s’il s'avère que ceux-ci se livrent à des activités frauduleuses. "Dans un deuxième communiqué de presse complémentaire, la société indique qu’elle n’a les plates-formes de publicité des partis »et« ni l'intention ni la capacité de diriger de telles plates-formes de publicité pour se lancer dans les supposées «injections de clic». » ils croient avoir «généré et diffusé ces déclarations fausses et trompeuses».

Mise à jour: Google supprime deux applications

Google a répondu au rapport en supprimant CM File Manager et Kika Keyboard du Play Store, selon BuzzFeed News . «Nous prenons ces allégations très au sérieux et nos règles pour les développeurs Google Play interdisent les comportements trompeurs et malveillants sur notre plate-forme. Si une application enfreint nos règles, nous agissons », a déclaré un porte-parole de Google à BuzzFeed News . Cheetah Mobile et Kika peuvent en appeler de la décision, mais BuzzFeed News indique que les deux applications ont été supprimées du réseau de publicité mobile AdMob de Google. Cheetah Mobile a publié un communiqué de presse en réponse à la suppression de CM File Manager, déclarant que CM File Manager était une «application immatérielle en termes de contribution aux revenus de la société». Battery Doctor et CM Launcher ont été volontairement supprimés par Cheetah Mobile après la Le rapport a été publié pour la première fois, mais n'a pas encore été renvoyé au Play Store. Pour plus d'informations, veuillez lire le rapport original de BuzzFeed News .


Cet article a été mis à jour le 27/11/18 à 19 h 58 min. CT afin de refléter la position de Cheetah Mobile sur les API qui auraient été utilisées pour le stratagème de fraude publicitaire.

Cet article a été mis à jour le 28/11/18 à 09:44 CT en réponse aux demandes de renseignements de l’équipe juridique de Cheetah Mobile.

Cet article a été mis à jour le 04/12/18 à 14h14 CT pour ajouter la réponse de Google aux allégations.