آنتی ویروس Avast از شما جاسوسی می کند. در اینجا چگونه است

Avast یکی از آنتی ویروس‌هایی است که آزمایش زمان را پس داده و تقریباً یک دهه است که رایگان است. این آنتی ویروس فاقد ویژگی های پیشرفته است، اما به اندازه کافی برای پوشش افرادی که نمی خواهند برای یک نرم افزار آنتی ویروس ممتاز پول را خراب کنند، ارائه می دهد. با این حال، به نظر می رسد دلیلی برای رایگان بودن Avast وجود دارد و دلیل آن این نیست که این شرکت می خواهد همه به آنتی ویروس دسترسی داشته باشند.

بر اساس تحقیقات مشترک توسط PCMag و مادربرد، به نظر می رسد Avast در حال جمع آوری داده های شما برای پرداخت هزینه های خود و نرم افزار آنتی ویروس رایگان است. این گزارش بر اسناد فاش شده متکی است که شامل داده‌های کاربر، قراردادها و سایر اسناد شرکت است. این اسناد فروش داده های بسیار حساس جمع آوری شده توسط شرکت را نشان می دهد. داده های اولیه از Jumpshot، یکی از شرکت های تابعه Avast می آید.

این سیستم به روشی کارآمد کار می کند که در آن Avast داده ها را جمع آوری می کند و Jumpshot داده ها را دوباره بسته بندی می کند تا آنها را به نام های بزرگ صنعت فناوری بفروشد. لیست مشتریان Jumpshot شامل Google، Yelp، Microsoft، McKinsey، Pepsi، Sephora، Home Depot، Condé Nast، Intuit و بسیاری دیگر است. این شرکت بسته ای به نام «فید همه کلیک ها» ارائه می دهد که می تواند رفتار، کلیک ها و حتی حرکات را در وب سایت ها ردیابی کند. این به شرکت هایی مانند Home Depot و Amazon کمک می کند تا رفتار کاربر را با دقت بسیار بالا از جمله عادات خرید و مرور شما یاد بگیرند.

داده‌های جمع‌آوری‌شده به قدری ریز هستند که مشتریان می‌توانند تک تک کلیک‌هایی را که کاربران در جلسات مرور خود انجام می‌دهند، از جمله زمان تا میلی‌ثانیه مشاهده کنند. و در حالی که داده‌های جمع‌آوری‌شده هرگز به نام، ایمیل یا آدرس IP یک شخص مرتبط نمی‌شوند، با این وجود هر سابقه کاربری به شناسه‌ای به نام شناسه دستگاه اختصاص داده می‌شود که تا زمانی که کاربر محصول آنتی‌ویروس Avast را حذف نکند، باقی خواهد ماند.

– PCMag

PCMag گفت ردیابی شامل همه چیز از مرور و خرید است. به عنوان مثال، Avast می تواند کاربر را در حال مرور از طریق آمازون و انتخاب محصولی که سپس توسط کاربر مذکور خریداری می کند، ردیابی کند. PCMag اشاره می کند که در حالی که داده ها برای من و شما بی ضرر به نظر می رسند، آمازون می تواند از زمان دقیق برای یافتن کاربری که خرید کرده است استفاده کند. این به طور ناگهانی داده های ناشناس را به داده های قابل شناسایی تغییر می دهد.

در نگاه اول، کلیک بی ضرر به نظر می رسد. شما نمی توانید آن را به یک کاربر دقیق پین کنید. یعنی، مگر اینکه شما Amazon.com باشید، که به راحتی می‌توانید بفهمید کدام کاربر آمازون در 12 دسامبر 03 در ساعت 05:1:2019 یک iPad Pro خریده است. ناگهان، شناسه دستگاه: 123abcx یک کاربر شناخته شده است. و هر چیز دیگری که Jumpshot در فعالیت 123abcx دارد - از سایر خریدهای تجارت الکترونیک گرفته تا جستجوهای Google - دیگر ناشناس نیست.

– PCMag

به نظر می‌رسد کارشناسان حریم خصوصی بر این واقعیت توافق دارند که داده‌های جمع‌آوری‌شده توسط شرکت‌هایی مانند آمازون و داده‌های جمع‌آوری‌شده توسط Jumpshot وقتی جدا از هم هستند، بسیار بی‌ضرر هستند. با این حال، وقتی هر دو داده را با هم ترکیب می‌کنید، اوضاع بدتر می‌شود، زیرا شرکت‌ها ناگهان تمام اطلاعات مورد نیاز خود را برای مشخص کردن یک کاربر واحد و عادات مرور/خرید آنها در اختیار دارند.

بیشتر تهدیدات ناشی از بی‌نام‌سازی - جایی که افراد را شناسایی می‌کنید - از توانایی ادغام اطلاعات با داده‌های دیگر ناشی می‌شود.

شاید خود داده (Jumpshot) افراد را شناسایی نمی کند. شاید فقط فهرستی از شناسه های کاربر هش شده و برخی از URL ها باشد. اما همیشه می‌توان آن را با داده‌های دیگر بازاریابان، تبلیغ‌کنندگان دیگر، که اساساً می‌توانند به هویت واقعی دست یابند، ترکیب کرد.

- گونس آکار، محقق حریم خصوصی

متأسفانه، بدترین اتفاق هنوز در راه است. طبق گزارش های بررسی شده توسط PCMag و Motherboard، جمع آوری داده ها به اینجا ختم نمی شود. به نظر می رسد Avast داده هایی را در مورد جستجوهای موضوعات عادی و همچنین موضوعات بسیار حساس مانند ترجیحات پورنو و حتی رابطه جنسی زیر سن قانونی جمع آوری کرده است. این یک بیت اطلاعاتی است که هیچ کس نمی خواهد به آنها گره بخورد. و با این حال این اطلاعات وجود دارد و با داده های دیگر ترکیب می شود، آنها می توانند کاربر دقیقی را که جستجو را انجام داده است، مشخص کنند.

این تنها یکی از چندین پیشنهاد Jumpshot است. محصولاتی برای ردیابی وب سایت های تجارت الکترونیک، مرور یوتیوب و فیس بوک، ردیابی اینستاگرام و موارد دیگر طراحی شده اند. در دسامبر 2018، Omnicom Media Group قراردادی را با Jumpshot امضا کرد تا به بسته تمام کلیکی آنها دسترسی پیدا کند. به طور معمول، Jumpshot PII (اطلاعات شناسایی شخصی) را حذف می کند و آن را با شناسه دستگاه جایگزین می کند تا از هویت کاربر محافظت کند. با این حال، وقتی نوبت به Omnicom Media Group رسید، Jumpshot اطلاعات را با PII ارائه کرد. نه تنها این، بلکه Omnicom Media Group همچنین از Jumpshot درخواست کرد تا داده های مربوط به رشته URL و حتی سن و جنسیت شخصی که در حال مرور وب است را ارائه دهد.

مشخص نیست چرا Omnicom داده ها را می خواهد. این شرکت به سوالات ما پاسخ نداد. اما این قرارداد چشم‌انداز نگران‌کننده‌ای را افزایش می‌دهد که Omnicom می‌تواند داده‌های Jumpshot را برای شناسایی تک تک کاربران شناسایی کند.

اگرچه Omnicom خود صاحب پلتفرم اینترنتی بزرگی نیست، داده های Jumpshot به یک شرکت تابعه به نام Analect ارسال می شود که راه حل های فناوری را برای کمک به شرکت ها برای ادغام اطلاعات مشتری خود با داده های شخص ثالث ارائه می دهد. این قرارداد سه ساله در ژانویه 2019 اجرایی شد و به Omnicom امکان دسترسی به داده‌های جریان کلیک روزانه در 14 بازار از جمله ایالات متحده، هند و بریتانیا را می‌دهد. در عوض، Jumpshot 6.5 میلیون دلار دستمزد دریافت می کند.

- PC Mag

هیچ اطلاعاتی در مورد تعداد شرکت هایی که به داده ها دسترسی دارند وجود ندارد. وب سایت شرکت آی بی ام، مایکروسافت و گوگل را به عنوان شرکا فهرست کرده است. با این حال، مایکروسافت تایید کرد که این شرکت هیچ رابطه ای در حال حاضر ندارد. از سوی دیگر، آی‌بی‌ام گفت که هیچ سابقه‌ای مبنی بر اینکه مشتری Avast یا Jumpshot بوده است، ندارد. گوگل از اظهار نظر در مورد این موضوع خودداری کرد.

Wladimir Palant شخص اصلی است که وقتی متوجه چیز عجیبی در پسوندهای مرورگر شرکت آنتی ویروس شد، کل تحقیقات را آغاز کرد: آنها هر وب سایت بازدید شده را همراه با شناسه کاربری ثبت می کردند و اطلاعات را برای Avast ارسال می کردند. موزیلا و گوگل پس از فراخوانی، برنامه افزودنی را حذف کردند که بعداً با افزودن ویژگی‌های حریم خصوصی جدید Avast به برنامه افزودنی دوباره اضافه شد.

تجمیع معمولاً به این معنی است که داده‌های چند کاربر با هم ترکیب می‌شوند. اگر مشتریان Jumpshot هنوز هم می توانند داده های تک تک کاربران را ببینند، واقعاً بد است.

تصور اینکه هر الگوریتم ناشناس سازی بتواند تمام داده های مربوطه را حذف کند دشوار است. وب‌سایت‌های بسیار زیادی وجود دارند و هر کدام از آنها کار متفاوتی انجام می‌دهند.

– ولادیمیر پالانت، محقق امنیتی

شناسایی داده ها تقریبا غیرممکن است. این فقط به نظر یک روش تجاری وحشتناک است. آنها قرار است از مصرف کنندگان در برابر تهدیدات محافظت کنند، نه اینکه آنها را در معرض تهدید قرار دهند.

- اریک گلدمن، یکی از مدیران موسسه حقوقی فناوری پیشرفته در دانشگاه سانتا کلارا

هر دو PC Mag و Motherboard سعی کردند برای توضیح بیشتر با Avast و Jumpshot تماس بگیرند اما پاسخی دریافت نکردند. Avast گفت که این شرکت دیگر برای اهداف بازاریابی داده جمع آوری نخواهد کرد.

ما به طور کامل استفاده از هر گونه داده از برنامه های افزودنی مرورگر را برای اهداف دیگری غیر از موتور امنیتی اصلی، از جمله اشتراک گذاری با Jumpshot، متوقف کردیم.

کاربران همیشه این امکان را داشته اند که از اشتراک گذاری داده ها با Jumpshot خودداری کنند. از ژوئیه 2019، ما قبلاً اجرای یک انتخاب صریح برای همه دانلودهای جدید AV (آنتی ویروس) خود را آغاز کرده بودیم، و اکنون همچنین از کاربران رایگان موجود خود می خواهیم تا یک انتخاب صریح را انجام دهند، فرآیندی که در پایان تکمیل خواهد شد. فوریه 2020

- آواست

هنگام نصب Avast، این شرکت از کاربران می‌پرسد: «می‌دانید برخی از داده‌ها را با ما به اشتراک بگذارید؟» سپس پنجره پاپ آپ به شما می گوید که داده های جمع آوری شده شناسایی و جمع آوری می شوند تا راهی برای محافظت از حریم خصوصی شما باشد. با این حال، پنجره بازشو اطلاعاتی را در مورد فرآیند حذف هویت یا اینکه چگونه داده های ترکیب شده با اطلاعات دیگر می تواند هویت واقعی شما را آشکار کند، فاش نمی کند. علاوه بر این، مادربرد از کاربران Avast در مورد آن سؤال کرد و اکثر آنها گفتند که هیچ اطلاعی در مورد سیاست های جمع آوری داده ها و نحوه استفاده از آن ندارند.

نکته اصلی این است که برای اطمینان از حریم خصوصی خود، بهتر است برای نرم افزار هزینه کنید. علاوه بر این، همیشه ایده خوبی است که بیانیه حریم خصوصی را بخوانید و اطمینان حاصل کنید که داده های جمع آوری شده با دقت مورد استفاده قرار می گیرند. پس از بررسی پرونده، به کاربران خود توصیه می کنیم که Avast یا AVG را فوراً حذف نصب کنند. برای کاربران ویندوز 10، Windows Defender خود مایکروسافت تقریباً تمام ویژگی های امنیتی مورد نیاز یک فرد را فراهم می کند. جدای از آن، می توانید برای محافظت پیشرفته با Malwarebytes بروید یا یکی از آنتی ویروس های برتر موجود در بازار را خریداری کنید. ما هرگز نصب نرم‌افزار رایگان را توصیه نمی‌کنیم تا زمانی که کاملاً در مورد خط‌مشی‌های آن‌ها مطمئن شوید، مخصوصاً در مورد مدیریت بخش‌های مهم رایانه مانند امنیت و حریم خصوصی.