Program antywirusowy Avast Cię szpieguje. Oto jak

Avast był jednym z nich Antywirus, który przetrwał próbę czasu i jest darmowy od prawie dekady. Antywirusowi brakuje zaawansowanych funkcji, ale zapewnia wystarczającą ochronę dla osób, które nie chcą rozbić banku na oprogramowanie antywirusowe premium. Wygląda jednak na to, że Avast jest darmowy, a nie dlatego, że firma chce, aby wszyscy mieli dostęp do antywirusa.

Według wspólnego dochodzenia przeprowadzonego przez PCMag i Płyta, wygląda na to, że Avast zbiera Twoje dane, aby pokryć wydatki i bezpłatne oprogramowanie antywirusowe. Raport opiera się na ujawnionych dokumentach, które zawierają dane użytkowników, umowy i inne dokumenty firmowe. Dokumenty te pokazują sprzedaż wysoce wrażliwych danych gromadzonych przez firmę. Podstawowe dane pochodzą z Jumpshot, spółki zależnej Avast.

System działa wydajnie, gdzie Avast zbiera dane, a Jumpshot przepakowuje je, aby sprzedać je wielkim markom w branży technologicznej. Lista klientów Jumpshot obejmuje Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit i wiele innych. Firma zapewnia tak zwany pakiet „All Clicks Feed”, który może śledzić zachowanie, kliknięcia, a nawet ruchy na stronach internetowych. Pomaga to firmom takim jak Home Depot i Amazon poznać zachowania użytkowników z niezwykłą precyzją, w tym nawyki związane z zakupami i przeglądaniem.

Gromadzone dane są tak szczegółowe, że klienci mogą przeglądać poszczególne kliknięcia, które użytkownicy wykonują podczas sesji przeglądania, w tym czas z dokładnością do milisekundy. Gromadzone dane nigdy nie są powiązane z nazwiskiem, adresem e-mail ani adresem IP osoby, jednak każda historia użytkownika jest przypisywana do identyfikatora zwanego identyfikatorem urządzenia, który pozostanie niezmieniony, dopóki użytkownik nie odinstaluje produktu antywirusowego Avast.

– PCMag

PCMag powiedział, że śledzenie obejmuje wszystko, od przeglądania i zakupów. Na przykład Avast może śledzić użytkownika przeglądającego Amazon i wybierającego produkt, który jest następnie kupowany przez tego użytkownika. PCMag zwraca uwagę, że chociaż dane wydają się nieszkodliwe dla Ciebie i dla mnie, Amazon może wykorzystać dokładny czas, aby dowiedzieć się, kto dokonał zakupu. Spowoduje to nagle zmianę anonimowych danych na takie, które można zidentyfikować.

Na pierwszy rzut oka kliknięcie wygląda nieszkodliwie. Nie możesz przypiąć go do konkretnego użytkownika. To znaczy, chyba że jesteś Amazon.com, który może łatwo dowiedzieć się, który użytkownik Amazon kupił iPada Pro o 12:03:05 1 grudnia 2019 r. Nagle identyfikator urządzenia: 123abcx jest znanym użytkownikiem. A cokolwiek jeszcze Jumpshot ma na aktywność 123abcx – od innych zakupów w e-commerce po wyszukiwania Google – nie jest już anonimowe.

– PCMag

Eksperci ds. prywatności wydają się zgadzać co do faktu, że dane gromadzone przez firmy takie jak Amazon i dane gromadzone przez Jumpshot są dość nieszkodliwe, gdy są rozdzielone. Jednak sprawy przybierają najgorszy obrót, gdy połączysz oba dane, ponieważ firmy nagle mają wszystkie informacje, których potrzebują, aby zidentyfikować jednego użytkownika i jego nawyki związane z przeglądaniem/zakupami.

Większość zagrożeń stwarzanych przez deanonimizację — gdzie identyfikujesz osoby — wynika z możliwości łączenia informacji z innymi danymi.

Może same dane (Jumpshot) nie identyfikują ludzi. Może to tylko lista zaszyfrowanych identyfikatorów użytkowników i niektórych adresów URL. Ale zawsze można je połączyć z innymi danymi od innych marketerów, innych reklamodawców, którzy mogą w zasadzie dotrzeć do prawdziwej tożsamości.

– Gunes Acar, badacz prywatności

Niestety najgorsze dopiero nadejdzie. Według dzienników przeglądanych przez PCMag i Motherboard, zbieranie danych nie kończy się tutaj. Wydaje się, że Avast zebrał dane dotyczące wyszukiwań przyziemnych tematów, a także bardzo drażliwych tematów, takich jak preferencje dotyczące pornografii, a nawet seks z nieletnimi. To jedna informacja, z którą nikt nie chce być przywiązany. A jednak te informacje istnieją i w połączeniu z innymi danymi mogą wskazać dokładnego użytkownika, który dokonał wyszukiwania.

To tylko jedna z wielu propozycji Jumpshot. Istnieją produkty przeznaczone do śledzenia witryn e-commerce, przeglądania YouTube i Facebook, śledzenia na Instagramie i nie tylko. W grudniu 2018 roku Omnicom Media Group podpisała umowę z Jumpshot, aby uzyskać dostęp do ich pakietu all-clicks. Zwykle program Jumpshot usuwa informacje umożliwiające identyfikację użytkownika (PII) i zastępuje je identyfikatorem urządzenia, aby chronić tożsamość użytkownika. Jednak jeśli chodzi o Omnicom Media Group, Jumpshot dostarczył informacje wraz z PII. Nie tylko to, ale Omnicom Media Group również poprosił Jumpshot o dostarczenie danych związanych z ciągiem adresu URL, a nawet z wiekiem i płcią osoby przeglądającej sieć.

Nie jest jasne, dlaczego Omnicom potrzebuje danych. Firma nie odpowiedziała na nasze pytania. Ale umowa budzi niepokojącą perspektywę, że Omnicom może odkryć dane Jumpshot w celu zidentyfikowania poszczególnych użytkowników.

Chociaż sam Omnicom nie jest właścicielem dużej platformy internetowej, dane Jumpshot są wysyłane do spółki zależnej o nazwie Annalect, która oferuje rozwiązania technologiczne pomagające firmom łączyć własne informacje o klientach z danymi stron trzecich. Trzyletnia umowa weszła w życie w styczniu 2019 r. i daje Omnicom dostęp do codziennych danych dotyczących kliknięć na 14 rynkach, w tym w USA, Indiach i Wielkiej Brytanii. W zamian Jumpshot otrzymuje 6.5 miliona dolarów.

– PCMag

Brak informacji o liczbie firm, które mają dostęp do danych. Na stronie internetowej firmy wymieniono IBM, Microsoft i Google jako partnerów. Jednak Microsoft potwierdził, że firma nie ma obecnych relacji. Z drugiej strony IBM powiedział, że „nie ma żadnych zapisów”, aby kiedykolwiek być klientem Avast lub Jumpshot. Google odmówił komentarza w tej sprawie.

Wladimir Palant był pierwotną osobą, która wywołała całe śledztwo, gdy zauważył coś dziwnego w rozszerzeniach przeglądarki firmy antywirusowej: rejestrowali każdą odwiedzaną witrynę wraz z identyfikatorem użytkownika i wysyłali informacje do Avast. Po wezwaniu Mozilla i Google usunęły rozszerzenie, które zostało później dodane z powrotem, gdy Avast dodał nowe funkcje prywatności do rozszerzenia.

Agregacja zwykle oznaczałaby połączenie danych wielu użytkowników. Jeśli klienci Jumpshot nadal widzą dane poszczególnych użytkowników, to naprawdę źle.

Trudno sobie wyobrazić, że jakikolwiek algorytm anonimizacji będzie w stanie usunąć wszystkie istotne dane. Jest po prostu zbyt wiele stron internetowych, a każda z nich robi coś innego.

– Wladimir Palant, badacz bezpieczeństwa

Deidentyfikacja danych jest prawie niemożliwa. To brzmi jak okropna praktyka biznesowa. Mają chronić konsumentów przed zagrożeniami, a nie narażać ich na zagrożenia.

– Eric Goldman, współdyrektor High Tech Law Institute na Uniwersytecie Santa Clara

Zarówno PC Mag, jak i płyta główna próbowały skontaktować się z Avast i Jumpshot w celu uzyskania wyjaśnień, ale nie otrzymały odpowiedzi. Avast powiedział, że firma nie będzie już gromadzić danych w celach marketingowych.

Całkowicie zaprzestaliśmy praktyki wykorzystywania jakichkolwiek danych z rozszerzeń przeglądarki do jakichkolwiek innych celów niż podstawowy silnik bezpieczeństwa, w tym udostępniania za pomocą Jumpshot…

Użytkownicy zawsze mieli możliwość zrezygnowania z udostępniania danych za pomocą Jumpshot. Od lipca 2019 r. rozpoczęliśmy już wdrażanie wyraźnego wyboru zgody dla wszystkich nowych pobrań naszego antywirusa (antywirusa), a teraz zachęcamy również naszych dotychczasowych bezpłatnych użytkowników do dokonania jednoznacznego wyboru, proces, który zostanie zakończony w Luty 2020

– Avasta

Podczas instalowania Avast firma pyta użytkowników „Czy chcesz podzielić się z nami niektórymi danymi?” Wyskakujące okienko poinformuje Cię, że zebrane dane zostaną poddane deidentyfikacji i zagregowane w celu ochrony Twojej prywatności. Jednak wyskakujące okienko nie ujawnia informacji o procesie deidentyfikacji ani o tym, w jaki sposób dane w połączeniu z innymi informacjami mogą ujawnić Twoją prawdziwą tożsamość. Co więcej, płyta główna zapytała o to użytkowników Avasta, a większość z nich odpowiedziała, że ​​nie ma pojęcia o zasadach gromadzenia danych i sposobie ich używania.

Najważniejsze jest to, że lepiej zapłacić za oprogramowanie, aby zapewnić sobie prywatność. Co więcej, zawsze dobrze jest przeczytać oświadczenie o prywatności i upewnić się, że gromadzone dane są traktowane z ostrożnością. Po zapoznaniu się ze sprawą zalecamy naszym użytkownikom natychmiastowe odinstalowanie Avast lub AVG. W przypadku użytkowników systemu Windows 10 własny program Windows Defender firmy Microsoft zapewnia prawie wszystkie funkcje bezpieczeństwa potrzebne danej osobie. Oprócz tego możesz skorzystać z Malwarebytes, aby uzyskać zaawansowaną ochronę lub kupić jeden z najlepszych antywirusów dostępnych na rynku. Nigdy nie zalecamy instalowania freeware, dopóki nie będziesz absolutnie pewien ich zasad, zwłaszcza jeśli chodzi o obsługę krytycznych części komputera, takich jak bezpieczeństwo i prywatność.