Το Avast antivirus σας κατασκοπεύει. Να πώς

Το Avast είναι ένα Anti-virus που έχει αντέξει στη δοκιμασία του χρόνου και είναι δωρεάν για σχεδόν μια δεκαετία. Το πρόγραμμα προστασίας από ιούς στερείται προηγμένων δυνατοτήτων, αλλά παρέχει αρκετά για να καλύψει άτομα που δεν θέλουν να ξεπεράσουν τα χρήματα για ένα premium λογισμικό προστασίας από ιούς. Ωστόσο, φαίνεται ότι υπάρχει ένας λόγος για τον οποίο το Avast είναι δωρεάν και όχι επειδή η εταιρεία θέλει όλοι να έχουν πρόσβαση σε προγράμματα προστασίας από ιούς.

Σύμφωνα με κοινή έρευνα από PCMag και Motherboard, φαίνεται ότι η Avast συγκεντρώνει τα δεδομένα σας για να πληρώσει τα έξοδά της και το δωρεάν λογισμικό προστασίας από ιούς. Η αναφορά βασίζεται σε έγγραφα που διέρρευσαν που περιλαμβάνουν δεδομένα χρήστη, συμβάσεις και άλλα εταιρικά έγγραφα. Αυτά τα έγγραφα δείχνουν την πώληση των εξαιρετικά ευαίσθητων δεδομένων που συλλέγει η εταιρεία. Τα κύρια δεδομένα προέρχονται από τη Jumpshot, θυγατρική της Avast.

Το σύστημα λειτουργεί με αποτελεσματικό τρόπο όπου η Avast συλλέγει τα δεδομένα και το Jumpshot επανασυσκευάζει τα δεδομένα για να τα πουλήσει σε μεγάλα ονόματα της βιομηχανίας τεχνολογίας. Η λίστα πελατών του Jumpshot περιλαμβάνει τις Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit και πολλούς άλλους. Η εταιρεία παρέχει το λεγόμενο πακέτο «Όλα τα κλικ Ροή», το οποίο μπορεί να παρακολουθεί τη συμπεριφορά, τα κλικ και ακόμη και τις κινήσεις σε ιστότοπους. Αυτό βοηθά εταιρείες όπως το Home Depot και το Amazon να μάθουν τη συμπεριφορά των χρηστών με εξαιρετική ακρίβεια, συμπεριλαμβανομένων των συνηθειών αγορών και περιήγησης.

Τα δεδομένα που συλλέγονται είναι τόσο αναλυτικά που οι πελάτες μπορούν να δουν τα μεμονωμένα κλικ που κάνουν οι χρήστες στις περιόδους λειτουργίας περιήγησής τους, συμπεριλαμβανομένου του χρόνου μέχρι το χιλιοστό του δευτερολέπτου. Και ενώ τα δεδομένα που συλλέγονται δεν συνδέονται ποτέ με το όνομα, το email ή τη διεύθυνση IP ενός ατόμου, το ιστορικό κάθε χρήστη εκχωρείται σε ένα αναγνωριστικό που ονομάζεται αναγνωριστικό συσκευής, το οποίο θα παραμείνει εκτός εάν ο χρήστης απεγκαταστήσει το προϊόν προστασίας από ιούς Avast.

– PCMag

Το PCMag είπε ότι η παρακολούθηση περιλαμβάνει τα πάντα, από την περιήγηση και τις αγορές. Για παράδειγμα, η Avast θα μπορούσε να παρακολουθεί έναν χρήστη που περιηγείται στο Amazon και επιλέγει ένα προϊόν το οποίο στη συνέχεια αγοράζεται από τον εν λόγω χρήστη. Το PCMag επισημαίνει ότι ενώ τα δεδομένα φαίνονται αβλαβή για εσάς και για μένα, η Amazon μπορεί να χρησιμοποιήσει την ακριβή ώρα για να ανακαλύψει τον χρήστη που έκανε την αγορά. Αυτό θα αλλάξει ξαφνικά τα ανώνυμα δεδομένα σε αυτά που μπορούν να αναγνωριστούν.

Με την πρώτη ματιά, το κλικ φαίνεται ακίνδυνο. Δεν μπορείτε να το καρφιτσώσετε σε έναν ακριβή χρήστη. Δηλαδή, εκτός και αν είστε η Amazon.com, η οποία θα μπορούσε εύκολα να καταλάβει ποιος χρήστης της Amazon αγόρασε ένα iPad Pro στις 12:03:05 την 1η Δεκεμβρίου 2019. Ξαφνικά, το αναγνωριστικό συσκευής: 123abcx είναι γνωστός χρήστης. Και ό,τι άλλο έχει το Jumpshot στη δραστηριότητα του 123abcx—από άλλες αγορές ηλεκτρονικού εμπορίου έως αναζητήσεις Google—δεν είναι πλέον ανώνυμο.

– PCMag

Οι ειδικοί σε θέματα απορρήτου φαίνεται να συμφωνούν στο γεγονός ότι τα δεδομένα που συλλέγονται από εταιρείες όπως η Amazon και τα δεδομένα που συλλέγονται από το Jumpshot είναι αρκετά αβλαβή όταν είναι χωριστά. Ωστόσο, τα πράγματα παίρνουν μια στροφή προς το χειρότερο όταν συνδυάζετε και τα δύο δεδομένα καθώς οι εταιρείες ξαφνικά έχουν όλες τις πληροφορίες που χρειάζονται για να εντοπίσουν έναν μεμονωμένο χρήστη και τις συνήθειες περιήγησης/αγορών του.

Οι περισσότερες από τις απειλές που προκύπτουν από την αποανωνυμοποίηση - όπου προσδιορίζετε άτομα - προέρχονται από τη δυνατότητα συγχώνευσης των πληροφοριών με άλλα δεδομένα.

Ίσως τα ίδια τα δεδομένα (Jumpshot) να μην ταυτοποιούν άτομα. Ίσως είναι απλώς μια λίστα κατακερματισμένων αναγνωριστικών χρηστών και ορισμένων διευθύνσεων URL. Αλλά μπορεί πάντα να συνδυαστεί με άλλα δεδομένα από άλλους εμπόρους, άλλους διαφημιστές, που μπορούν βασικά να καταλήξουν στην πραγματική ταυτότητα.

– Gunes Acar, ερευνητής απορρήτου

Δυστυχώς, τα χειρότερα έρχονται. Σύμφωνα με τα αρχεία καταγραφής που εξετάστηκαν από το PCMag και το Motherboard, η συλλογή δεδομένων δεν τελειώνει εδώ. Η Avast φαίνεται να έχει συλλέξει δεδομένα σχετικά με κοσμικές αναζητήσεις θεμάτων, καθώς και εξαιρετικά ευαίσθητα θέματα όπως προτιμήσεις για πορνό, ακόμη και σεξ για ανηλίκους. Αυτή είναι μια πληροφορία που κανείς δεν θέλει να συνδεθεί μαζί τους. Και όμως αυτές οι πληροφορίες υπάρχουν και σε συνδυασμό με άλλα δεδομένα, μπορούν να εντοπίσουν τον ακριβή χρήστη που έκανε την αναζήτηση.

Αυτή είναι μόνο μία από τις πολλές προσφορές από το Jumpshot. Υπάρχουν προϊόντα που έχουν σχεδιαστεί για την παρακολούθηση ιστοτόπων ηλεκτρονικού εμπορίου, την περιήγηση στο YouTube και το Facebook, την παρακολούθηση Instagram και άλλα. Τον Δεκέμβριο του 2018, η Omnicom Media Group υπέγραψε συμβόλαιο με την Jumpshot για να αποκτήσει πρόσβαση στο πακέτο όλων των κλικ. Κανονικά, το Jumpshot αφαιρεί τα PII (Προσωπικά στοιχεία ταυτοποίησης) και τα αντικαθιστά με το αναγνωριστικό συσκευής για να προστατεύσει την ταυτότητα του χρήστη. Ωστόσο, όταν ήρθε στο Omnicom Media Group, το Jumpshot παρείχε τις πληροφορίες με PII. Όχι μόνο αυτό, αλλά η Omnicom Media Group ζήτησε επίσης από το Jumpshot να παράσχει δεδομένα σχετικά με τη συμβολοσειρά URL και ακόμη και την ηλικία και το φύλο του ατόμου που περιηγείτο στον Ιστό.

Δεν είναι σαφές γιατί η Omnicom θέλει τα δεδομένα. Η εταιρεία δεν απάντησε στις ερωτήσεις μας. Ωστόσο, το συμβόλαιο εγείρει την ανησυχητική προοπτική ότι η Omnicom μπορεί να ξετυλίξει τα δεδομένα του Jumpshot για να εντοπίσει μεμονωμένους χρήστες.

Παρόλο που η ίδια η Omnicom δεν διαθέτει μεγάλη διαδικτυακή πλατφόρμα, τα δεδομένα του Jumpshot αποστέλλονται σε μια θυγατρική που ονομάζεται Annalect, η οποία προσφέρει τεχνολογικές λύσεις για να βοηθήσει τις εταιρείες να συγχωνεύσουν τις δικές τους πληροφορίες πελατών με δεδομένα τρίτων. Το τριετές συμβόλαιο τέθηκε σε ισχύ τον Ιανουάριο του 2019 και δίνει στην Omnicom πρόσβαση στα καθημερινά δεδομένα ροής κλικ σε 14 αγορές, συμπεριλαμβανομένων των ΗΠΑ, της Ινδίας και του Ηνωμένου Βασιλείου. Σε αντάλλαγμα, το Jumpshot πληρώνεται 6.5 εκατομμύρια δολάρια.

– PC Mag

Δεν υπάρχουν πληροφορίες για τον αριθμό των εταιρειών που έχουν πρόσβαση στα δεδομένα. Ο ιστότοπος της εταιρείας αναφέρει την IBM, τη Microsoft και την Google ως συνεργάτες. Ωστόσο, η Microsoft επιβεβαίωσε ότι η εταιρεία δεν έχει καμία τρέχουσα σχέση. Η IBM, από την άλλη πλευρά, είπε ότι «δεν έχει κανένα ιστορικό» να είναι πελάτης της Avast ή της Jumpshot. Η Google αρνήθηκε να σχολιάσει το θέμα.

Ο Wladimir Palant είναι το αρχικό πρόσωπο που πυροδότησε όλη την έρευνα όταν παρατήρησε κάτι περίεργο με τις επεκτάσεις προγράμματος περιήγησης της εταιρείας προστασίας από ιούς: Καταγράφονταν κάθε ιστότοπο που επισκέπτονταν μαζί με ένα αναγνωριστικό χρήστη και έστελναν τις πληροφορίες στην Avast. Όταν κλήθηκαν, η Mozilla και η Google αφαίρεσαν την επέκταση η οποία προστέθηκε αργότερα όταν η Avast πρόσθεσε νέες δυνατότητες απορρήτου στην επέκταση.

Η συγκέντρωση θα σήμαινε κανονικά ότι συνδυάζονται δεδομένα πολλών χρηστών. Αν οι πελάτες Jumpshot εξακολουθούν να μπορούν να δουν δεδομένα μεμονωμένων χρηστών, αυτό είναι πολύ κακό.

Είναι δύσκολο να φανταστεί κανείς ότι οποιοσδήποτε αλγόριθμος ανωνυμοποίησης θα είναι σε θέση να αφαιρέσει όλα τα σχετικά δεδομένα. Υπάρχουν απλώς πάρα πολλοί ιστότοποι εκεί έξω και ο καθένας από αυτούς κάνει κάτι διαφορετικό.

– Wladimir Palant, ερευνητής ασφάλειας

Είναι σχεδόν αδύνατο να αποχαρακτηριστούν δεδομένα. Απλώς ακούγεται σαν μια τρομερή επιχειρηματική πρακτική. Υποτίθεται ότι προστατεύουν τους καταναλωτές από απειλές, αντί να τους εκθέτουν σε απειλές.

– Eric Goldman, συνδιευθυντής του High Tech Law Institute στο Πανεπιστήμιο Santa Clara

Τόσο το PC Mag όσο και το Motherboard προσπάθησαν να επικοινωνήσουν με την Avast και το Jumpshot για διευκρινίσεις, αλλά δεν έλαβαν απάντηση. Η Avast είπε ότι η εταιρεία δεν θα συλλέγει πλέον δεδομένα για σκοπούς μάρκετινγκ.

Διακόψαμε εντελώς την πρακτική της χρήσης οποιωνδήποτε δεδομένων από τις επεκτάσεις του προγράμματος περιήγησης για οποιονδήποτε άλλο σκοπό εκτός από τη μηχανή βασικής ασφάλειας, συμπεριλαμβανομένης της κοινής χρήσης με το Jumpshot…

Οι χρήστες είχαν πάντα τη δυνατότητα να εξαιρεθούν από την κοινή χρήση δεδομένων με το Jumpshot. Από τον Ιούλιο του 2019, είχαμε ήδη αρχίσει να εφαρμόζουμε μια ρητή επιλογή συμμετοχής για όλες τις νέες λήψεις του AV μας (antivirus) και τώρα προτρέπουμε επίσης τους υπάρχοντες δωρεάν χρήστες μας να κάνουν μια ρητή επιλογή, μια διαδικασία που θα ολοκληρωθεί το Φεβρουάριος 2020

– Avast

Κατά την εγκατάσταση του Avast, η εταιρεία ρωτά τους χρήστες «Να μοιράζεστε κάποια δεδομένα μαζί μας;» Το αναδυόμενο παράθυρο θα συνεχίσει να σας ενημερώνει ότι τα δεδομένα που συλλέγονται θα καταργηθούν και θα συγκεντρωθούν ως ένας τρόπος για την προστασία του απορρήτου σας. Ωστόσο, το αναδυόμενο παράθυρο δεν αποκαλύπτει πληροφορίες σχετικά με τη διαδικασία αφαίρεσης ταυτότητας ή πώς τα δεδομένα σε συνδυασμό με άλλες πληροφορίες μπορούν να αποκαλύψουν την πραγματική σας ταυτότητα. Επιπλέον, η Motherboard ρώτησε τους χρήστες του Avast σχετικά και οι περισσότεροι από αυτούς είπαν ότι δεν έχουν ιδέα για τις πολιτικές συλλογής δεδομένων και τον τρόπο χρήσης τους.

Η ουσία είναι ότι είναι καλύτερο να πληρώσετε για το λογισμικό για να διασφαλίσετε το απόρρητό σας. Επιπλέον, είναι πάντα καλή ιδέα να διαβάζετε τη δήλωση απορρήτου και να διασφαλίζετε ότι τα δεδομένα που συλλέγονται γίνεται με προσοχή. Αφού εξετάσουμε την υπόθεση, συνιστούμε στους χρήστες μας να απεγκαταστήσουν αμέσως το Avast ή το AVG. Για τους χρήστες των Windows 10, το Windows Defender της Microsoft παρέχει σχεδόν όλες τις δυνατότητες ασφαλείας που χρειάζονται ένα άτομο. Εκτός από αυτό, μπορείτε να πάτε με το Malwarebytes για προηγμένη προστασία ή να αγοράσετε ένα από τα premium anti-virus που διατίθενται στην αγορά. Δεν συνιστούμε ποτέ την εγκατάσταση δωρεάν λογισμικού έως ότου είστε απολύτως σίγουροι για τις πολιτικές τους, ειδικά όταν πρόκειται για το χειρισμό κρίσιμων τμημάτων του υπολογιστή σας, όπως η ασφάλεια και το απόρρητο.