Avast 바이러스 백신이 당신을 감시하고 있습니다. 방법은 다음과 같습니다

Avast는 시간의 테스트를 견디고 거의 XNUMX년 동안 무료로 제공되는 안티바이러스 중 하나였습니다. 안티바이러스는 고급 기능이 부족하지만 프리미엄 안티바이러스 소프트웨어를 구입하기 위해 큰 돈을 들이고 싶지 않은 개인을 보호하기에 충분합니다. 그러나 Avast가 무료인 데는 이유가 있는 것 같으며 회사가 모든 사람이 바이러스 백신에 액세스할 수 있기를 바라는 것은 아닙니다.

합동조사에 따르면 PCMag 와 마더 보드, Avast가 비용과 무료 안티바이러스 소프트웨어 비용을 지불하기 위해 데이터를 수집하는 것 같습니다. 보고서는 사용자 데이터, 계약서 및 기타 회사 문서를 포함하는 유출된 문서에 의존합니다. 이 문서는 회사에서 수집한 매우 민감한 데이터의 판매를 보여줍니다. 기본 데이터는 Avast의 자회사인 Jumpshot에서 가져옵니다.

시스템은 Avast가 데이터를 수집하고 Jumpshot이 데이터를 재포장하여 기술 산업의 유명인에게 판매하는 효율적인 방식으로 작동합니다. Jumpshot의 고객 목록에는 Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit 등이 포함됩니다. 이 회사는 행동, 클릭 및 웹사이트 전반의 움직임까지 추적할 수 있는 소위 "모든 클릭 피드" 패키지를 제공합니다. 이를 통해 Home Depot 및 Amazon과 같은 회사는 쇼핑 및 검색 습관을 포함하여 매우 정확하게 사용자 행동을 학습할 수 있습니다.

수집된 데이터는 매우 세분화되어 있어 클라이언트는 밀리초 단위까지의 시간을 포함하여 탐색 세션에서 사용자가 만드는 개별 클릭을 볼 수 있습니다. 수집된 데이터는 개인의 이름, 이메일 또는 IP 주소와 연결되지 않지만, 그럼에도 불구하고 각 사용자 기록은 장치 ID라는 식별자에 할당되며 사용자가 Avast 바이러스 백신 제품을 제거하지 않는 한 유지됩니다.

– PCMag

PCMag는 추적이 탐색과 쇼핑에서 모든 것을 포함한다고 말했습니다. 예를 들어 Avast는 사용자가 Amazon을 탐색하고 해당 사용자가 구매한 제품을 선택하는 것을 추적할 수 있습니다. PCMag는 데이터가 당신과 나에게 무해한 것처럼 보이지만 Amazon은 정확한 시간을 사용하여 구매한 사용자를 찾을 수 있다고 지적합니다. 이것은 갑자기 익명화된 데이터를 식별할 수 있는 데이터로 변경합니다.

언뜻보기에 클릭은 무해해 보입니다. 정확한 사용자에게 고정할 수 없습니다. 즉, 12년 03월 05일 1:2019:123에 iPad Pro를 구입한 Amazon 사용자를 쉽게 파악할 수 있는 Amazon.com이 아닌 한 장치 ID: 123abcx가 알려진 사용자입니다. 그리고 다른 전자 상거래 구매에서 Google 검색에 이르기까지 XNUMXabcx의 활동에 대한 Jumpshot의 기타 정보는 더 이상 익명이 아닙니다.

– PCMag

개인정보 보호 전문가들은 아마존 같은 기업에서 수집한 데이터와 점프샷에서 수집한 데이터를 분리하면 꽤 무해하다는 데 동의하는 것 같다. 그러나 기업이 갑자기 단일 사용자와 그들의 검색/쇼핑 습관을 정확히 찾아내는 데 필요한 모든 정보를 갖게 되면서 두 데이터를 결합하면 상황이 최악으로 바뀝니다.

사용자를 식별하는 익명화 해제로 인해 발생하는 대부분의 위협은 정보를 다른 데이터와 병합하는 기능에서 비롯됩니다.

(점프샷) 데이터 자체가 사람을 식별하지 못할 수도 있습니다. 해시된 사용자 ID와 일부 URL의 목록일 수도 있습니다. 그러나 기본적으로 실제 신원에 도달할 수 있는 다른 마케터, 다른 광고주의 다른 데이터와 항상 결합될 수 있습니다.

– Gunes Acar, 개인 정보 보호 연구원

불행히도 최악의 상황은 아직 오지 않았습니다. PCMag와 마더보드에서 검토한 로그에 따르면 데이터 수집은 여기서 끝나지 않습니다. Avast는 포르노 선호도, 미성년자 섹스와 같은 매우 민감한 주제뿐만 아니라 일상적인 주제 검색에 대한 데이터를 수집한 것 같습니다. 이것은 아무도 그들에게 연결되기를 원하지 않는 한 비트의 정보입니다. 그러나 이 정보가 존재하고 다른 데이터와 결합되어 검색을 한 정확한 사용자를 찾아낼 수 있습니다.

이것은 Jumpshot의 많은 제품 중 하나일 뿐입니다. 전자 상거래 웹 사이트, YouTube 및 Facebook 탐색, Instagram 추적 등을 추적하도록 설계된 제품이 있습니다. 2018년 XNUMX월, Omnicom Media Group은 모든 클릭 패키지에 대한 액세스 권한을 얻기 위해 Jumpshot과 계약을 체결했습니다. 일반적으로 Jumpshot은 사용자 식별을 보호하기 위해 PII(개인 식별 정보)를 제거하고 장치 ID로 대체합니다. 그러나 Omnicom Media Group의 경우 Jumpshot은 PII와 함께 정보를 제공했습니다. 뿐만 아니라 Omnicom Media Group은 URL 문자열과 웹을 탐색하는 사람의 연령 및 성별과 관련된 데이터를 제공하도록 Jumpshot에 요청했습니다.

Omnicom이 데이터를 원하는 이유는 불분명합니다. 회사는 우리의 질문에 대답하지 않았습니다. 그러나 이 계약으로 인해 Omnicom이 개별 사용자를 식별하기 위해 Jumpshot의 데이터를 풀 수 있다는 불안한 전망이 나옵니다.

Omnicom 자체가 주요 인터넷 플랫폼을 소유하고 있지는 않지만 Jumpshot 데이터는 Annalect라는 자회사로 전송되고 있습니다. Annalect는 회사가 자체 고객 정보를 타사 데이터와 병합하는 데 도움이 되는 기술 솔루션을 제공하고 있습니다. 2019년 계약은 14년 6.5월에 발효되었으며 Omnicom은 미국, 인도 및 영국을 포함한 XNUMX개 시장의 일일 클릭 스트림 데이터에 액세스할 수 있습니다. 그 대가로 점프샷은 XNUMX만 달러를 받습니다.

– PC 매그

데이터에 액세스할 수 있는 회사의 수에 대한 정보가 없습니다. 회사 웹 사이트에는 IBM, Microsoft 및 Google이 파트너로 나열되어 있습니다. 그러나 Microsoft는 회사가 현재 관계가 없음을 확인했습니다. 반면 IBM은 Avast나 Jumpshot의 고객이라는 "기록이 없다"고 말했습니다. 구글은 이 문제에 대한 논평을 거부했다.

Wladimir Palant는 바이러스 백신 회사의 브라우저 확장에서 이상한 점을 발견했을 때 전체 조사를 촉발한 사람입니다. 방문한 모든 웹사이트를 사용자 ID와 함께 기록하고 Avast에 정보를 전송하고 있었습니다. 요청을 받았을 때 Mozilla와 Google은 나중에 Avast가 확장 프로그램에 새로운 개인 정보 보호 기능을 추가할 때 다시 추가된 확장 프로그램을 제거했습니다.

집계는 일반적으로 여러 사용자의 데이터가 결합됨을 의미합니다. Jumpshot 클라이언트가 여전히 개별 사용자의 데이터를 볼 수 있다면 그것은 정말 나쁜 것입니다.

어떤 익명화 알고리즘도 모든 관련 데이터를 제거할 수 있다고 상상하기 어렵습니다. 너무 많은 웹 사이트가 있으며 각각 다른 작업을 수행합니다.

– Wladimir Palant, 보안 연구원

데이터를 비식별화하는 것은 거의 불가능합니다. 그것은 끔찍한 비즈니스 관행처럼 들립니다. 소비자를 위협에 노출시키는 것이 아니라 위협으로부터 소비자를 보호해야 합니다.

– Eric Goldman, Santa Clara University의 High Tech Law Institute 공동 소장

PC Mag와 마더보드 모두 Avast와 Jumpshot에 설명을 요청했지만 응답을 받지 못했습니다. Avast는 회사가 더 이상 마케팅 목적으로 데이터를 수집하지 않을 것이라고 말했습니다.

우리는 Jumpshot과의 공유를 포함하여 핵심 보안 엔진 이외의 다른 목적으로 브라우저 확장 프로그램의 데이터를 사용하는 관행을 완전히 중단했습니다.

사용자는 항상 Jumpshot과 데이터 공유를 선택 해제할 수 있습니다. 2019년 2020월 현재, 우리는 이미 AV(바이러스 백신)의 모든 새로운 다운로드에 대해 명시적 옵트인 선택을 구현하기 시작했으며 현재 기존 무료 사용자에게 명시적 선택을 하도록 촉구하고 있습니다. 이 프로세스는 다음 기간에 완료될 예정입니다. XNUMX년 XNUMX월

– 아바스트

Avast를 설치할 때 회사는 사용자에게 "데이터를 공유하시겠습니까?"라고 묻습니다. 그런 다음 수집된 데이터가 개인 정보를 보호하기 위한 방법으로 비식별화되고 집계될 것임을 알리는 팝업이 계속 표시됩니다. 그러나 팝업은 비식별화 프로세스에 대한 정보나 다른 정보와 결합된 데이터가 어떻게 귀하의 실제 신원을 드러낼 수 있는지에 대한 정보를 공개하지 않습니다. 또한 마더보드는 Avast 사용자에게 이에 대해 물었고 대부분은 데이터 수집 정책과 사용 방법에 대해 전혀 모른다고 말했습니다.

결론은 개인 정보를 보호하기 위해 소프트웨어 비용을 지불하는 것이 더 낫다는 것입니다. 또한 개인 정보 보호 정책을 읽고 수집된 데이터가 신중하게 처리되고 있는지 확인하는 것이 항상 좋은 생각입니다. 사례를 살펴본 후 사용자에게 Avast 또는 AVG를 즉시 제거할 것을 권장합니다. Windows 10 사용자의 경우 Microsoft 자체 Windows Defender는 개인이 필요로 하는 거의 모든 보안 기능을 제공합니다. 그 외에도 고급 보호를 위해 Malwarebytes를 사용하거나 시장에서 사용 가능한 프리미엄 안티바이러스 중 하나를 구입할 수 있습니다. 특히 보안 및 개인 정보 보호와 같은 컴퓨터의 중요한 부분을 처리하는 것과 관련하여 정책에 대해 완전히 확신할 때까지 프리웨어를 설치하지 않는 것이 좋습니다.