Antivirus Avast vás špehuje. Zde je návod

Avast je jedním z antivirů, který obstál ve zkoušce časem a je zdarma již téměř deset let. Antivirus postrádá pokročilé funkce, ale poskytuje dostatek, aby pokryl jednotlivce, kteří nechtějí vydělat peníze za prémiový antivirový software. Zdá se však, že existuje důvod, proč je Avast zdarma, a není to proto, že by společnost chtěla, aby měl každý přístup k antiviru.

Podle společného vyšetřování PCMag a Základní deska, vypadá to, že Avast shromažďuje vaše data, aby zaplatil za své výdaje a bezplatný antivirový software. Zpráva se opírá o uniklé dokumenty, které zahrnují uživatelská data, smlouvy a další firemní dokumenty. Tyto dokumenty ukazují prodej vysoce citlivých dat shromážděných společností. Primární data pocházejí od Jumpshot, dceřiné společnosti Avastu.

Systém funguje efektivním způsobem, kdy Avast shromažďuje data a Jumpshot je přebaluje, aby je prodal velkým jménům v technologickém průmyslu. Seznam klientů Jumpshot zahrnuje Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit a mnoho dalších. Společnost poskytuje takzvaný balíček „All Clicks Feed“, který dokáže sledovat chování, kliknutí a dokonce i pohyby na webových stránkách. To pomáhá společnostem jako Home Depot a Amazon naučit se chování uživatelů s extrémní přesností, včetně vašich nákupních a procházení.

Shromážděná data jsou tak podrobná, že klienti mohou zobrazit jednotlivá kliknutí, která uživatelé provádějí při svých relacích prohlížení, včetně času s přesností na milisekundu. A přestože shromážděná data nejsou nikdy propojena se jménem, ​​e-mailem nebo IP adresou osoby, každá uživatelská historie je přesto přiřazena k identifikátoru zvanému ID zařízení, který přetrvá, dokud uživatel neodinstaluje antivirový produkt Avast.

– PCMag

PCMag uvedl, že sledování zahrnuje vše od procházení a nakupování. Avast by například mohl sledovat uživatele, který prochází Amazon a vybírá si produkt, který si pak daný uživatel zakoupí. PCMag poukazuje na to, že zatímco se vám a mně zdají data neškodná, Amazon může použít přesný čas ke zjištění uživatele, který provedl nákup. Tím se rázem změní anonymizovaná data na taková, která lze identifikovat.

Na první pohled vypadá cvaknutí neškodně. Nemůžete to připnout na konkrétního uživatele. Tedy pokud nejste Amazon.com, který by mohl snadno zjistit, který uživatel Amazonu si koupil iPad Pro ve 12:03:05 1. prosince 2019. Najednou je ID zařízení: 123abcx známý uživatel. A cokoli dalšího, co má Jumpshot o aktivitě 123abcx – od jiných nákupů v e-commerce po vyhledávání Google – již není anonymní.

– PCMag

Zdá se, že odborníci na soukromí souhlasí s tím, že data shromážděná společnostmi jako Amazon a data shromážděná Jumpshotem jsou docela neškodná, když jsou oddělená. Věci se však zhorší, když obě data zkombinujete, protože společnosti najednou mají všechny informace, které potřebují k určení jednoho uživatele a jeho zvyklostí při procházení a nakupování.

Většina hrozeb, které představuje deanonymizace – tam, kde identifikujete osoby – pochází ze schopnosti sloučit informace s jinými daty.

Možná samotná data (Jumpshot) neidentifikují lidi. Možná je to jen seznam hashovaných uživatelských ID a některých adres URL. Vždy se ale dá zkombinovat s dalšími daty od jiných marketérů, jiných inzerentů, kteří v podstatě dosáhnou skutečné identity.

– Gunes Acar, výzkumník v oblasti soukromí

Bohužel to nejhorší teprve přijde. Podle protokolů zkontrolovaných PCMag a Motherboard zde sběr dat nekončí. Zdá se, že Avast shromáždil data o hledání světských témat i vysoce citlivých témat, jako jsou preference porna a dokonce i sex s nezletilými. To je jedna informace, kterou s nimi nikdo nechce vázat. A přesto tyto informace existují a v kombinaci s dalšími údaji mohou přesně určit uživatele, který provedl vyhledávání.

Toto je jen jedna z mnoha nabídek od Jumpshot. Existují produkty určené ke sledování webových stránek elektronického obchodu, procházení YouTube a Facebooku, sledování Instagramu a dalších. V prosinci 2018 podepsala Omnicom Media Group smlouvu se společností Jumpshot, aby získala přístup k jejich balíčku all-clicks. Normálně Jumpshot odstraní PII (Personally Identifiable Information) a nahradí je ID zařízení, aby byla chráněna identifikace uživatele. Když však došlo na Omnicom Media Group, Jumpshot poskytl informace s PII. Nejen to, Omnicom Media Group také požádala společnost Jumpshot, aby poskytla data související s řetězcem URL a dokonce i s věkem a pohlavím osoby, která procházela web.

Není jasné, proč Omnicom data požaduje. Společnost na naše dotazy nereagovala. Smlouva však vyvolává znepokojivou vyhlídku, že Omnicom může rozluštit data Jumpshotu a identifikovat jednotlivé uživatele.

Přestože Omnicom sám nevlastní žádnou velkou internetovou platformu, data Jumpshot jsou zasílána dceřiné společnosti s názvem Annalect, která nabízí technologická řešení pomáhající společnostem sloučit jejich vlastní zákaznické informace s daty třetích stran. Tříletá smlouva vstoupila v platnost v lednu 2019 a poskytuje společnosti Omnicom přístup k denním údajům o kliknutí na 14 trzích, včetně USA, Indie a Spojeného království. Na oplátku dostane Jumpshot zaplaceno 6.5 milionu dolarů.

– PC Mag

Neexistují žádné informace o počtu společností, které mají přístup k datům. Web společnosti uvádí jako partnery IBM, Microsoft a Google. Microsoft však potvrdil, že společnost nemá žádný aktuální vztah. IBM na druhou stranu uvedla, že nemá „žádný záznam“ o tom, že by kdy byla klientem Avastu nebo Jumpshotu. Google celou záležitost odmítl komentovat.

Wladimir Palant je původní osobou, která podnítila celé vyšetřování, když si všimla něčeho zvláštního na rozšířeních prohlížeče antivirové společnosti: Zapisovali všechny navštívené webové stránky spolu s uživatelským ID a posílali informace Avastu. Po výzvě Mozilla a Google odstranily rozšíření, které bylo později přidáno, když Avast do rozšíření přidal nové funkce ochrany osobních údajů.

Agregace by normálně znamenala, že jsou sloučena data více uživatelů. Pokud klienti Jumpshot stále vidí data jednotlivých uživatelů, je to opravdu špatné.

Je těžké si představit, že jakýkoli anonymizační algoritmus bude schopen odstranit všechna relevantní data. Webů je prostě příliš mnoho a každý z nich dělá něco jiného.

– Wladimir Palant, bezpečnostní výzkumník

Deidentifikace dat je téměř nemožné. To zní jako hrozná obchodní praktika. Mají chránit spotřebitele před hrozbami, spíše než je hrozbám vystavovat.

– Eric Goldman, spoluředitel High Tech Law Institute na Santa Clara University

PC Mag i základní deska se pokusily oslovit Avast a Jumpshot pro vysvětlení, ale nedostaly odpověď. Avast řekl, že společnost již nebude shromažďovat data pro marketingové účely.

Zcela jsme přestali používat jakákoli data z rozšíření prohlížeče pro jakýkoli jiný účel, než je základní bezpečnostní engine, včetně sdílení s Jumpshot…

Uživatelé měli vždy možnost odhlásit se ze sdílení dat s Jumpshot. Od července 2019 jsme již začali implementovat výslovnou volbu opt-in pro všechna nová stahování našeho AV (antiviru) a nyní také vyzýváme naše stávající bezplatné uživatele, aby učinili výslovnou volbu, proces, který bude dokončen v února 2020

– Avast

Při instalaci Avastu se společnost ptá uživatelů: „Chcete s námi sdílet nějaká data? Vyskakovací okno pak bude pokračovat a sdělí vám, že shromážděná data budou deidentifikována a agregována jako způsob ochrany vašeho soukromí. Vyskakovací okno však nezveřejňuje informace o procesu deidentifikace ani o tom, jak mohou data v kombinaci s jinými informacemi odhalit vaši skutečnou identitu. Kromě toho se na to Motherboard zeptal uživatelů Avastu a většina z nich řekla, že nemají ponětí o zásadách shromažďování dat a o tom, jak se používají.

Pointa je, že je lepší zaplatit za software, aby bylo zajištěno vaše soukromí. Kromě toho je vždy dobré si prohlášení o ochraně osobních údajů přečíst a zajistit, aby se se shromážděnými údaji zacházelo opatrně. Po zhlédnutí případu našim uživatelům doporučujeme, aby Avast nebo AVG ihned odinstalovali. Pro uživatele Windows 10 poskytuje vlastní Windows Defender od společnosti Microsoft téměř všechny bezpečnostní funkce, které jednotlivec potřebuje. Kromě toho můžete použít Malwarebytes pro pokročilou ochranu nebo si koupit jeden z prémiových antivirů dostupných na trhu. Nikdy nedoporučujeme instalovat freeware, dokud si nejste absolutně jisti jejich zásadami, zejména pokud jde o zacházení s kritickými částmi vašeho počítače, jako je zabezpečení a soukromí.