Avast antivirus bespioneert u. Hier is hoe

Avast is een antivirusprogramma dat de tand des tijds heeft doorstaan ​​en al bijna tien jaar gratis is. Het antivirusprogramma heeft geen geavanceerde functies, maar biedt wel genoeg om personen te dekken die de bank niet willen breken voor premium antivirussoftware. Het lijkt er echter op dat er een reden is waarom Avast gratis is en niet omdat het bedrijf wil dat iedereen toegang heeft tot antivirusprogramma's.

Volgens een gezamenlijk onderzoek van PCMag en moederbord, lijkt het erop dat Avast uw gegevens verzamelt om hun kosten en de gratis antivirussoftware te betalen. Het rapport is gebaseerd op gelekte documenten met gebruikersgegevens, contracten en andere bedrijfsdocumenten. Deze documenten tonen de verkoop van de zeer gevoelige gegevens die door het bedrijf zijn verzameld. De primaire gegevens zijn afkomstig van Jumpshot, een dochteronderneming van Avast.

Het systeem werkt op een efficiënte manier waarbij Avast de gegevens verzamelt en Jumpshot de gegevens opnieuw verpakt om ze te verkopen aan de grote namen in de technische industrie. De klantenlijst van Jumpshot omvat Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit en vele anderen. Het bedrijf biedt een zogenaamd "All Clicks Feed" -pakket dat gedrag, klikken en zelfs bewegingen over websites kan volgen. Dit helpt bedrijven als Home Depot en Amazon om het gebruikersgedrag met extreme precisie te leren, inclusief uw winkel- en browsegedrag.

De verzamelde gegevens zijn zo gedetailleerd dat klanten de individuele klikken die gebruikers maken tijdens hun browsesessies kunnen zien, inclusief de tijd tot op de milliseconde. En hoewel de verzamelde gegevens nooit worden gekoppeld aan de naam, het e-mailadres of het IP-adres van een persoon, wordt elke gebruikersgeschiedenis niettemin toegewezen aan een identificatie die de apparaat-ID wordt genoemd en die blijft bestaan ​​tenzij de gebruiker het antivirusproduct van Avast verwijdert.

– PCMag

PCMag zei dat de tracking alles omvat, van browsen en winkelen. Avast kan bijvoorbeeld een gebruiker volgen die door Amazon bladert en een product selecteert dat vervolgens door de genoemde gebruiker wordt gekocht. PCMag wijst erop dat hoewel de gegevens voor u en mij onschadelijk lijken, Amazon de precieze tijd kan gebruiken om de gebruiker te achterhalen die de aankoop heeft gedaan. Hierdoor zullen de geanonimiseerde gegevens plotseling veranderen in een die kan worden geïdentificeerd.

Op het eerste gezicht lijkt de klik ongevaarlijk. Je kunt het niet aan een exacte gebruiker vastpinnen. Dat wil zeggen, tenzij je Amazon.com bent, die gemakkelijk zou kunnen achterhalen welke Amazon-gebruiker een iPad Pro heeft gekocht om 12:03:05 op 1 december 2019. Plotseling is apparaat-ID: 123abcx een bekende gebruiker. En al het andere dat Jumpshot heeft over de activiteit van 123abcx - van andere e-commerce-aankopen tot Google-zoekopdrachten - is niet langer anoniem.

– PCMag

Privacyexperts lijken het erover eens te zijn dat de gegevens die door bedrijven als Amazon worden verzameld en de gegevens die door Jumpshot worden verzameld, vrij onschadelijk zijn als ze gescheiden zijn. De zaken nemen echter een wending wanneer u beide gegevens combineert, aangezien bedrijven plotseling alle informatie hebben die ze nodig hebben om een ​​enkele gebruiker en hun browse-/winkelgewoonten te lokaliseren.

De meeste bedreigingen van de-anonimisering - waarbij u mensen identificeert - komen voort uit de mogelijkheid om de informatie samen te voegen met andere gegevens.

Misschien identificeert de (Jumpshot) data zelf geen personen. Misschien is het gewoon een lijst met gehashte gebruikers-ID's en enkele URL's. Maar het kan altijd worden gecombineerd met andere gegevens van andere marketeers, andere adverteerders, die in principe tot de echte identiteit kunnen komen.

– Gunes Acar, privacyonderzoeker

Helaas moet het ergste nog komen. Volgens de logboeken die zijn beoordeeld door PCMag en Motherboard, houdt het verzamelen van gegevens hier niet op. Avast lijkt gegevens te hebben verzameld over alledaagse zoekopdrachten naar onderwerpen, evenals over zeer gevoelige onderwerpen zoals porno-voorkeuren en zelfs minderjarige seks. Dit is een stukje informatie waar niemand aan gebonden wil zijn. En toch bestaat deze informatie en in combinatie met andere gegevens kunnen ze de exacte gebruiker lokaliseren die de zoekopdracht heeft uitgevoerd.

Dit is slechts een van de vele aanbiedingen van Jumpshot. Er zijn producten die zijn ontworpen om e-commercewebsites, YouTube- en Facebook-browsing, Instagram-tracking en meer te volgen. In december 2018 tekende Omnicom Media Group een contract met Jumpshot om toegang te krijgen tot hun all-clicks-pakket. Normaal gesproken verwijdert Jumpshot PII (Persoonlijk Identificeerbare Informatie) en vervangt deze door Device ID om de identiteit van de gebruiker te beschermen. Als het echter om Omnicom Media Group ging, leverde Jumpshot de informatie met PII. Niet alleen dat, maar Omnicom Media Group vroeg Jumpshot ook om gegevens te verstrekken met betrekking tot de URL-string en zelfs de leeftijd en het geslacht van de persoon die op internet aan het surfen was.

Het is onduidelijk waarom Omnicom de gegevens wil. Het bedrijf reageerde niet op onze vragen. Maar het contract roept het verontrustende vooruitzicht op dat Omnicom de gegevens van Jumpshot kan ontrafelen om individuele gebruikers te identificeren.

Hoewel Omnicom zelf geen groot internetplatform bezit, worden de Jumpshot-gegevens verzonden naar een dochteronderneming genaamd Annalect, die technologische oplossingen biedt om bedrijven te helpen hun eigen klantinformatie samen te voegen met gegevens van derden. Het driejarige contract is in januari 2019 ingegaan en geeft Omnicom toegang tot de dagelijkse clickstream-gegevens op 14 markten, waaronder de VS, India en het VK. In ruil daarvoor krijgt Jumpshot $ 6.5 miljoen betaald.

– PC mag

Er is geen informatie over het aantal bedrijven dat toegang heeft tot de gegevens. De website van het bedrijf vermeldt IBM, Microsoft en Google als partners. Microsoft bevestigde echter dat het bedrijf geen huidige relatie heeft. IBM, aan de andere kant, zei dat het "geen record" heeft ooit klant te zijn geweest van Avast of Jumpshot. Google weigerde commentaar te geven op de kwestie.

Wladimir Palant is de oorspronkelijke persoon die het hele onderzoek op gang bracht toen hij iets vreemds opmerkte met de browserextensies van het antivirusbedrijf: ze logden elke bezochte website samen met een gebruikers-ID en stuurden de informatie naar Avast. Toen ze werden opgeroepen, verwijderden Mozilla en Google de extensie die later werd toegevoegd toen Avast nieuwe privacyfuncties aan de extensie toevoegde.

Aggregatie zou normaal gesproken betekenen dat gegevens van meerdere gebruikers worden gecombineerd. Als Jumpshot-klanten nog steeds gegevens van individuele gebruikers kunnen zien, is dat erg slecht.

Het is moeilijk voor te stellen dat een anonimiseringsalgoritme alle relevante gegevens kan verwijderen. Er zijn gewoon te veel websites en elk van hen doet iets anders.

– Wladimir Palant, veiligheidsonderzoeker

Het is bijna onmogelijk om gegevens te de-identificeren. Dat klinkt gewoon als een vreselijke zakelijke praktijk. Ze zouden consumenten moeten beschermen tegen bedreigingen, in plaats van hen bloot te stellen aan bedreigingen.

– Eric Goldman, mededirecteur van het High Tech Law Institute aan de Santa Clara University

Zowel PC Mag als Motherboard probeerden Avast en Jumpshot te bereiken voor opheldering, maar ze kregen geen antwoord. Avast zei wel dat het bedrijf geen gegevens meer zal verzamelen voor marketingdoeleinden.

We zijn volledig gestopt met het gebruik van gegevens van de browserextensies voor andere doeleinden dan de kernbeveiligingsengine, inclusief delen met Jumpshot...

Gebruikers hebben altijd de mogelijkheid gehad om zich af te melden voor het delen van gegevens met Jumpshot. Vanaf juli 2019 waren we al begonnen met het implementeren van een expliciete opt-in-keuze voor alle nieuwe downloads van onze AV (antivirus), en we vragen nu ook onze bestaande gratis gebruikers om een ​​expliciete keuze te maken, een proces dat in februari 2020

– Avast

Bij het installeren van Avast vraagt ​​het bedrijf gebruikers wel: "Wilt u wat gegevens met ons delen?" De pop-up zal u dan vertellen dat de verzamelde gegevens zullen worden geanonimiseerd en geaggregeerd als een manier om uw privacy te beschermen. De pop-up geeft echter geen informatie over het de-identificatieproces of hoe de gegevens in combinatie met andere informatie uw ware identiteit kunnen onthullen. Bovendien vroeg Motherboard Avast-gebruikers ernaar en de meesten van hen vertelden dat ze geen idee hebben van het beleid voor gegevensverzameling en hoe het wordt gebruikt.

Het komt erop neer dat het beter is om voor de software te betalen om uw privacy te waarborgen. Bovendien is het altijd een goed idee om de privacyverklaring te lezen en ervoor te zorgen dat de verzamelde gegevens zorgvuldig worden behandeld. Na de case te hebben bekeken, raden we onze gebruikers aan om Avast of AVG onmiddellijk te verwijderen. Voor gebruikers van Windows 10 biedt Microsoft's eigen Windows Defender bijna alle beveiligingsfuncties die een persoon nodig heeft. Afgezien daarvan kun je Malwarebytes gebruiken voor geavanceerde bescherming of een van de premium antivirusprogramma's kopen die op de markt verkrijgbaar zijn. We raden je aan om nooit freeware te installeren totdat je absoluut zeker bent van hun beleid, vooral als het gaat om het omgaan met kritieke onderdelen van je computer, zoals beveiliging en privacy.