Die mobilen Stores von Apple und Google haben mehrere beliebte „private Browsing“-Apps gehostet, die von einem Unternehmen betrieben werden, das mit einem chinesischen Cyber-Sicherheitsunternehmen verbunden ist, das von der US-Regierung auf die schwarze Liste gesetzt wurde.
Nach einem neuen Bericht der Forschungsgruppe Tech Transparency Project sowie zusätzlichen Erkenntnissen der Financial Times haben mindestens fünf kostenlose virtuelle private Netzwerke (VPNs), die über die App-Stores der US-Technologieunternehmen verfügbar sind, Verbindungen zu dem in Shanghai gelisteten Unternehmen Qihoo 360.
Qihoo, früher bekannt als 360 Security Technology, wurde 2020 von den USA wegen angeblicher Verbindungen zur chinesischen Armee mit Sanktionen belegt. Das US-Verteidigungsministerium fügte Qihoo später eine Liste chinesischer militärnaher Unternehmen hinzu.
Der Bericht des TTP, der auch herausfand, dass 20 der 100 meistheruntergeladenen Apps im Apple App Store chinesischen Eigentümern gehören, warnt davor, dass „Millionen Amerikaner unwissentlich ihren Internetverkehr an chinesische Unternehmen senden“.
Die Enthüllungen erfolgen in einem Klima steigender Bedenken in den USA gegenüber chinesischen Technologieunternehmen und den nationalen Sicherheitsrisiken, die sie möglicherweise darstellen.
VPNs ermöglichen es den Nutzern, geografische Beschränkungen auf Websites und Firewalls zu umgehen, indem sie eine verschlüsselte Verbindung zu einem Server herstellen, über den sie auf Inhalte zugreifen können, die in ihrem Land anderweitig blockiert wären.
Aber die Verbindung zum Netzwerk gibt dem VPN die Kontrolle über die Internetaktivitäten des Nutzers. Chinas nationale Sicherheitsgesetze verlangen von allen Unternehmen und Personen, mit staatlichen Geheimdienstuntersuchungen zusammenzuarbeiten und Daten herauszugeben, wenn sie dazu aufgefordert werden.
Die fünf mit Qihoo verbundenen Apps – Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN und Signal Secure VPN – waren letzte Woche im Apple und Google US-Store erhältlich. Nachdem die Financial Times Apple um Stellungnahme gebeten hatte, wurden Thunder VPN und Snap VPN aus dem Store entfernt.
Den Schätzungen von Sensor Tower zufolge haben drei der Apps im Portfolio im Jahr 2025 zusammen mehr als 1 Million Downloads aus dem Apple App Store und dem Google Play Store erhalten.
Das Portfolio wird von der in Singapur ansässigen Innovative Connecting betrieben, die wiederum von Lemon Seed Technology mit Sitz auf den Kaimaninseln gehört, laut App-Listings und Singapur Geschäftsunterlagen.
Qihoo teilte den Investoren mit, dass es im Januar 2020 69,9 Millionen Dollar für Lemon Seed und zwei weitere Unternehmen gezahlt habe. Im Mai desselben Jahres setzte die USA Qihoo auf ihre Handelsliste, die als Entitätenliste bekannt ist. Der Schritt schnitt das Unternehmen von der US-Technologie ab und gefährdete potenziell seine VPN-Apps, die ausschließlich globale Nutzer ansprechen, da sie in China tabu sind.
Bis September hatte Qihoo beschlossen zu verkaufen. Das Unternehmen teilte den Investoren mit, dass es seine Übersee-Strategie überdenke und „Project L“ für 70,1 Millionen Dollar verkauft habe. Es wurde kein Käufer genannt.
Aber die in Guangzhou ansässige Tochtergesellschaft von Qihoo, die im Dezember 2019 gegründet wurde, um die in China betriebenen Entwickler der Apps zu beschäftigen, blieb Teil von Qihoo.
Im Jahr 2021 wurde der Name der Tochtergesellschaft in Guangzhou Lianchuang Technology geändert. Im Jahr 2023 wurde sie schließlich an ein neu gegründetes Unternehmen in Peking für 1 Milliarde Renminbi verkauft, laut lokalen Geschäftsunterlagen, die der FT vorliegen.
Der Mehrheitseigentümer des Pekinger Unternehmens hieß Chen Ningyi. Ein Mann mit demselben Namen leitete die Telefon-Sicherheitsabteilung von Qihoo und ist der alleinige Direktor von Lemon Seed.
Als die FT kürzlich das Büro von Guangzhou Lianchuang besuchte, sagten zwei Entwickler, dass sie an den ausländischen VPNs arbeiteten und dass ihr Unternehmen mit Qihoo verbunden sei.
„Man könnte sagen, dass wir zu ihnen gehören und man könnte sagen, dass wir es nicht sind“, sagte einer der Programmierer, ohne einen Namen zu nennen. „Es ist kompliziert.“
In aktuellen Stellenausschreibungen sagt Guangzhou Lianchuang, dass seine Apps in mehr als 220 Ländern tätig sind und täglich 10 Millionen Nutzer hat. Es sucht nach einem Mitarbeiter, dessen Aufgaben „Überwachung und Analyse von Plattformdaten“ umfassen. Der richtige Kandidat wird „gut mit der amerikanischen Kultur vertraut“ sein, heißt es in der Anzeige.
Die Guangzhou-Niederlassung von Innovative Connecting und Guangzhou Lianchuang Technology
Apple und Google haben Richtlinien, die das Sammeln oder Verwenden von Nutzerdaten durch VPN-Apps ohne deren Zustimmung verbieten, wobei der iPhone-Hersteller ausdrücklich verbietet, Daten mit Dritten zu teilen.
Die Apps selbst haben ihre eigenen Datenschutzrichtlinien, aber Matthew Green, ein Kryptografie-Experte an der Johns Hopkins University, der die Sicherheit einzelner VPNs geprüft hat, sagte, dass es nicht einfach sei sicherzustellen, dass diese eingehalten werden.
„VPNs sind eine große Ausnahme zu [den Datenschutzbestrebungen von Apple auf dem Handy], weil sie sich an die Wurzelnetzwerkverbindung Ihres Telefons anhängen“, wobei alle Online-Aktivitäten über den VPN-Dienst ablaufen, sagte Green. „Es ist kein sehr verbindliches Versprechen und nicht etwas, das sehr einfach durchzusetzen ist.“
Apple entfernte VPN-Apps – die es den Nutzern ermöglichten, die Firewall Chinas zu umgehen – im Jahr 2017 aus seinem App Store in China, was von Entwicklern als Zeichen dafür kritisiert wurde, dass sich das Unternehmen auf die Seite staatlicher Zensur schlägt. Google zog sich 2010 aus China zurück und sein Play Store ist in diesem Land nicht verfügbar.
Apple sagte, es halte sich vollständig an die geltenden Gesetze und Vorschriften und werde Maßnahmen ergreifen, um Apps zu entfernen, die gegen seine strengen VPN-Regeln verstoßen oder sie anderweitig zur Einhaltung bringen.
Es fügte hinzu, dass seine App-Store-Richtlinien den Besitz von Apps durch Bürger oder Unternehmen in bestimmten Ländern nicht einschränken.
Google sagte, es sei „verpflichtet, die geltenden Sanktionen und Handelsvorschriften einzuhalten“ und dass „wenn wir Konten identifizieren, die gegen diese Gesetze verstoßen könnten, gegen unsere entsprechenden Richtlinien oder Nutzungsbedingungen verstoßen, ergreifen wir geeignete Maßnahmen“.
Im Januar kündigte Google an, „verifizierte“ Abzeichen für VPN-Apps im Play Store einzuführen, die zusätzliche Maßnahmen zur Priorisierung der Sicherheit ergriffen. Turbo VPN erhielt ein „verifiziertes“ Abzeichen.
Innovative Connecting sagte, der Inhalt des Artikels sei nicht korrekt, und lehnte weitere Kommentare ab. Guangzhou Lianchuang lehnte eine Stellungnahme ab. Qihoo und Chen Ningyi reagierten nicht auf Anfragen um Kommentar.
Hello! How can I assist you today?