آنتی ویروس Avast از شما جاسوسی می کند. در اینجا چگونه است
7 دقیقه خواندن
به روز شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
Avast یکی از آنتی ویروسهایی است که آزمایش زمان را پس داده و تقریباً یک دهه است که رایگان است. این آنتی ویروس فاقد ویژگی های پیشرفته است، اما به اندازه کافی برای پوشش افرادی که نمی خواهند برای یک نرم افزار آنتی ویروس ممتاز پول را خراب کنند، ارائه می دهد. با این حال، به نظر می رسد دلیلی برای رایگان بودن Avast وجود دارد و دلیل آن این نیست که این شرکت می خواهد همه به آنتی ویروس دسترسی داشته باشند.
بر اساس تحقیقات مشترک توسط PCMag و مادربرد، به نظر می رسد Avast در حال جمع آوری داده های شما برای پرداخت هزینه های خود و نرم افزار آنتی ویروس رایگان است. این گزارش بر اسناد فاش شده متکی است که شامل دادههای کاربر، قراردادها و سایر اسناد شرکت است. این اسناد فروش داده های بسیار حساس جمع آوری شده توسط شرکت را نشان می دهد. داده های اولیه از Jumpshot، یکی از شرکت های تابعه Avast می آید.
این سیستم به روشی کارآمد کار می کند که در آن Avast داده ها را جمع آوری می کند و Jumpshot داده ها را دوباره بسته بندی می کند تا آنها را به نام های بزرگ صنعت فناوری بفروشد. لیست مشتریان Jumpshot شامل Google، Yelp، Microsoft، McKinsey، Pepsi، Sephora، Home Depot، Condé Nast، Intuit و بسیاری دیگر است. این شرکت بسته ای به نام «فید همه کلیک ها» ارائه می دهد که می تواند رفتار، کلیک ها و حتی حرکات را در وب سایت ها ردیابی کند. این به شرکت هایی مانند Home Depot و Amazon کمک می کند تا رفتار کاربر را با دقت بسیار بالا از جمله عادات خرید و مرور شما یاد بگیرند.
دادههای جمعآوریشده به قدری ریز هستند که مشتریان میتوانند تک تک کلیکهایی را که کاربران در جلسات مرور خود انجام میدهند، از جمله زمان تا میلیثانیه مشاهده کنند. و در حالی که دادههای جمعآوریشده هرگز به نام، ایمیل یا آدرس IP یک شخص مرتبط نمیشوند، با این وجود هر سابقه کاربری به شناسهای به نام شناسه دستگاه اختصاص داده میشود که تا زمانی که کاربر محصول آنتیویروس Avast را حذف نکند، باقی خواهد ماند.
– PCMag
PCMag گفت ردیابی شامل همه چیز از مرور و خرید است. به عنوان مثال، Avast می تواند کاربر را در حال مرور از طریق آمازون و انتخاب محصولی که سپس توسط کاربر مذکور خریداری می کند، ردیابی کند. PCMag اشاره می کند که در حالی که داده ها برای من و شما بی ضرر به نظر می رسند، آمازون می تواند از زمان دقیق برای یافتن کاربری که خرید کرده است استفاده کند. این به طور ناگهانی داده های ناشناس را به داده های قابل شناسایی تغییر می دهد.
در نگاه اول، کلیک بی ضرر به نظر می رسد. شما نمی توانید آن را به یک کاربر دقیق پین کنید. یعنی، مگر اینکه شما Amazon.com باشید، که به راحتی میتوانید بفهمید کدام کاربر آمازون در 12 دسامبر 03 در ساعت 05:1:2019 یک iPad Pro خریده است. ناگهان، شناسه دستگاه: 123abcx یک کاربر شناخته شده است. و هر چیز دیگری که Jumpshot در فعالیت 123abcx دارد - از سایر خریدهای تجارت الکترونیک گرفته تا جستجوهای Google - دیگر ناشناس نیست.
– PCMag
به نظر میرسد کارشناسان حریم خصوصی بر این واقعیت توافق دارند که دادههای جمعآوریشده توسط شرکتهایی مانند آمازون و دادههای جمعآوریشده توسط Jumpshot وقتی جدا از هم هستند، بسیار بیضرر هستند. با این حال، وقتی هر دو داده را با هم ترکیب میکنید، اوضاع بدتر میشود، زیرا شرکتها ناگهان تمام اطلاعات مورد نیاز خود را برای مشخص کردن یک کاربر واحد و عادات مرور/خرید آنها در اختیار دارند.
بیشتر تهدیدات ناشی از بینامسازی - جایی که افراد را شناسایی میکنید - از توانایی ادغام اطلاعات با دادههای دیگر ناشی میشود.
شاید خود داده (Jumpshot) افراد را شناسایی نمی کند. شاید فقط فهرستی از شناسه های کاربر هش شده و برخی از URL ها باشد. اما همیشه میتوان آن را با دادههای دیگر بازاریابان، تبلیغکنندگان دیگر، که اساساً میتوانند به هویت واقعی دست یابند، ترکیب کرد.
- گونس آکار، محقق حریم خصوصی
متأسفانه، بدترین اتفاق هنوز در راه است. طبق گزارش های بررسی شده توسط PCMag و Motherboard، جمع آوری داده ها به اینجا ختم نمی شود. به نظر می رسد Avast داده هایی را در مورد جستجوهای موضوعات عادی و همچنین موضوعات بسیار حساس مانند ترجیحات پورنو و حتی رابطه جنسی زیر سن قانونی جمع آوری کرده است. این یک بیت اطلاعاتی است که هیچ کس نمی خواهد به آنها گره بخورد. و با این حال این اطلاعات وجود دارد و با داده های دیگر ترکیب می شود، آنها می توانند کاربر دقیقی را که جستجو را انجام داده است، مشخص کنند.
این تنها یکی از چندین پیشنهاد Jumpshot است. محصولاتی برای ردیابی وب سایت های تجارت الکترونیک، مرور یوتیوب و فیس بوک، ردیابی اینستاگرام و موارد دیگر طراحی شده اند. در دسامبر 2018، Omnicom Media Group قراردادی را با Jumpshot امضا کرد تا به بسته تمام کلیکی آنها دسترسی پیدا کند. به طور معمول، Jumpshot PII (اطلاعات شناسایی شخصی) را حذف می کند و آن را با شناسه دستگاه جایگزین می کند تا از هویت کاربر محافظت کند. با این حال، وقتی نوبت به Omnicom Media Group رسید، Jumpshot اطلاعات را با PII ارائه کرد. نه تنها این، بلکه Omnicom Media Group همچنین از Jumpshot درخواست کرد تا داده های مربوط به رشته URL و حتی سن و جنسیت شخصی که در حال مرور وب است را ارائه دهد.
مشخص نیست چرا Omnicom داده ها را می خواهد. این شرکت به سوالات ما پاسخ نداد. اما این قرارداد چشمانداز نگرانکنندهای را افزایش میدهد که Omnicom میتواند دادههای Jumpshot را برای شناسایی تک تک کاربران شناسایی کند.
اگرچه Omnicom خود صاحب پلتفرم اینترنتی بزرگی نیست، داده های Jumpshot به یک شرکت تابعه به نام Analect ارسال می شود که راه حل های فناوری را برای کمک به شرکت ها برای ادغام اطلاعات مشتری خود با داده های شخص ثالث ارائه می دهد. این قرارداد سه ساله در ژانویه 2019 اجرایی شد و به Omnicom امکان دسترسی به دادههای جریان کلیک روزانه در 14 بازار از جمله ایالات متحده، هند و بریتانیا را میدهد. در عوض، Jumpshot 6.5 میلیون دلار دستمزد دریافت می کند.
- PC Mag
هیچ اطلاعاتی در مورد تعداد شرکت هایی که به داده ها دسترسی دارند وجود ندارد. وب سایت شرکت آی بی ام، مایکروسافت و گوگل را به عنوان شرکا فهرست کرده است. با این حال، مایکروسافت تایید کرد که این شرکت هیچ رابطه ای در حال حاضر ندارد. از سوی دیگر، آیبیام گفت که هیچ سابقهای مبنی بر اینکه مشتری Avast یا Jumpshot بوده است، ندارد. گوگل از اظهار نظر در مورد این موضوع خودداری کرد.
Wladimir Palant شخص اصلی است که وقتی متوجه چیز عجیبی در پسوندهای مرورگر شرکت آنتی ویروس شد، کل تحقیقات را آغاز کرد: آنها هر وب سایت بازدید شده را همراه با شناسه کاربری ثبت می کردند و اطلاعات را برای Avast ارسال می کردند. موزیلا و گوگل پس از فراخوانی، برنامه افزودنی را حذف کردند که بعداً با افزودن ویژگیهای حریم خصوصی جدید Avast به برنامه افزودنی دوباره اضافه شد.
تجمیع معمولاً به این معنی است که دادههای چند کاربر با هم ترکیب میشوند. اگر مشتریان Jumpshot هنوز هم می توانند داده های تک تک کاربران را ببینند، واقعاً بد است.
تصور اینکه هر الگوریتم ناشناس سازی بتواند تمام داده های مربوطه را حذف کند دشوار است. وبسایتهای بسیار زیادی وجود دارند و هر کدام از آنها کار متفاوتی انجام میدهند.
– ولادیمیر پالانت، محقق امنیتی
شناسایی داده ها تقریبا غیرممکن است. این فقط به نظر یک روش تجاری وحشتناک است. آنها قرار است از مصرف کنندگان در برابر تهدیدات محافظت کنند، نه اینکه آنها را در معرض تهدید قرار دهند.
- اریک گلدمن، یکی از مدیران موسسه حقوقی فناوری پیشرفته در دانشگاه سانتا کلارا
هر دو PC Mag و Motherboard سعی کردند برای توضیح بیشتر با Avast و Jumpshot تماس بگیرند اما پاسخی دریافت نکردند. Avast گفت که این شرکت دیگر برای اهداف بازاریابی داده جمع آوری نخواهد کرد.
ما به طور کامل استفاده از هر گونه داده از برنامه های افزودنی مرورگر را برای اهداف دیگری غیر از موتور امنیتی اصلی، از جمله اشتراک گذاری با Jumpshot، متوقف کردیم.
کاربران همیشه این امکان را داشته اند که از اشتراک گذاری داده ها با Jumpshot خودداری کنند. از ژوئیه 2019، ما قبلاً اجرای یک انتخاب صریح برای همه دانلودهای جدید AV (آنتی ویروس) خود را آغاز کرده بودیم، و اکنون همچنین از کاربران رایگان موجود خود می خواهیم تا یک انتخاب صریح را انجام دهند، فرآیندی که در پایان تکمیل خواهد شد. فوریه 2020
- آواست
هنگام نصب Avast، این شرکت از کاربران میپرسد: «میدانید برخی از دادهها را با ما به اشتراک بگذارید؟» سپس پنجره پاپ آپ به شما می گوید که داده های جمع آوری شده شناسایی و جمع آوری می شوند تا راهی برای محافظت از حریم خصوصی شما باشد. با این حال، پنجره بازشو اطلاعاتی را در مورد فرآیند حذف هویت یا اینکه چگونه داده های ترکیب شده با اطلاعات دیگر می تواند هویت واقعی شما را آشکار کند، فاش نمی کند. علاوه بر این، مادربرد از کاربران Avast در مورد آن سؤال کرد و اکثر آنها گفتند که هیچ اطلاعی در مورد سیاست های جمع آوری داده ها و نحوه استفاده از آن ندارند.
نکته اصلی این است که برای اطمینان از حریم خصوصی خود، بهتر است برای نرم افزار هزینه کنید. علاوه بر این، همیشه ایده خوبی است که بیانیه حریم خصوصی را بخوانید و اطمینان حاصل کنید که داده های جمع آوری شده با دقت مورد استفاده قرار می گیرند. پس از بررسی پرونده، به کاربران خود توصیه می کنیم که Avast یا AVG را فوراً حذف نصب کنند. برای کاربران ویندوز 10، Windows Defender خود مایکروسافت تقریباً تمام ویژگی های امنیتی مورد نیاز یک فرد را فراهم می کند. جدای از آن، می توانید برای محافظت پیشرفته با Malwarebytes بروید یا یکی از آنتی ویروس های برتر موجود در بازار را خریداری کنید. ما هرگز نصب نرمافزار رایگان را توصیه نمیکنیم تا زمانی که کاملاً در مورد خطمشیهای آنها مطمئن شوید، مخصوصاً در مورد مدیریت بخشهای مهم رایانه مانند امنیت و حریم خصوصی.