O antivírus Avast está espionando você. Veja como

O Avast tem sido um antivírus que resistiu ao teste do tempo e está gratuito há quase uma década. O antivírus não possui recursos avançados, mas fornece o suficiente para cobrir indivíduos que não querem gastar muito com um software antivírus premium. No entanto, parece que há uma razão pela qual o Avast é gratuito e não é porque a empresa quer que todos tenham acesso ao antivírus.

De acordo com uma investigação conjunta por PCMag e motherboard, parece que o Avast está coletando seus dados para pagar suas despesas e o software antivírus gratuito. O relatório se baseia em documentos vazados que incluem dados de usuários, contratos e outros documentos da empresa. Esses documentos mostram a venda dos dados altamente sensíveis coletados pela empresa. Os dados primários vêm da Jumpshot, uma subsidiária da Avast.

O sistema funciona de maneira eficiente, onde a Avast coleta os dados e a Jumpshot reempacota os dados para vendê-los aos grandes nomes da indústria de tecnologia. A lista de clientes da Jumpshot inclui Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit e muitos outros. A empresa fornece um pacote chamado “All Clicks Feed” que pode rastrear comportamento, cliques e até movimentos em sites. Isso ajuda empresas como Home Depot e Amazon a aprender o comportamento do usuário com extrema precisão, incluindo seus hábitos de compras e navegação.

Os dados coletados são tão granulares que os clientes podem visualizar os cliques individuais que os usuários estão fazendo em suas sessões de navegação, incluindo o tempo até o milissegundo. E embora os dados coletados nunca sejam vinculados ao nome, e-mail ou endereço IP de uma pessoa, cada histórico de usuário é atribuído a um identificador chamado ID do dispositivo, que persistirá a menos que o usuário desinstale o produto antivírus Avast.

- PCMag

A PCMag disse que o rastreamento inclui tudo, desde navegação e compras. Por exemplo, o Avast pode rastrear um usuário navegando pela Amazon e selecionando um produto que é comprado pelo referido usuário. A PCMag ressalta que, embora os dados pareçam inofensivos para você e para mim, a Amazon pode usar o tempo preciso para descobrir o usuário que fez a compra. Isso mudará repentinamente os dados anônimos para um que possa ser identificado.

À primeira vista, o clique parece inofensivo. Você não pode fixá-lo em um usuário exato. Ou seja, a menos que você seja a Amazon.com, que poderia facilmente descobrir qual usuário da Amazon comprou um iPad Pro às 12:03:05 de 1º de dezembro de 2019. De repente, o ID do dispositivo: 123abcx é um usuário conhecido. E qualquer outra coisa que a Jumpshot tenha sobre a atividade da 123abcx – de outras compras de comércio eletrônico a pesquisas no Google – não é mais anônima.

- PCMag

Especialistas em privacidade parecem concordar com o fato de que os dados coletados por empresas como a Amazon e os dados coletados pela Jumpshot são bastante inofensivos quando separados. No entanto, as coisas pioram quando você combina os dados, pois as empresas de repente têm todas as informações necessárias para identificar um único usuário e seus hábitos de navegação/compras.

A maioria das ameaças representadas pela desanonimização – onde você está identificando pessoas – vem da capacidade de mesclar as informações com outros dados.

Talvez os dados (Jumpshot) em si não estejam identificando pessoas. Talvez seja apenas uma lista de IDs de usuário com hash e alguns URLs. Mas sempre pode ser combinado com outros dados de outros profissionais de marketing, outros anunciantes, que basicamente podem chegar à identidade real.

– Gunes Acar, pesquisador de privacidade

Infelizmente, o pior ainda está por vir. De acordo com os logs revisados ​​pela PCMag e pela Motherboard, a coleta de dados não termina aqui. A Avast parece ter coletado dados sobre pesquisas de tópicos mundanos, bem como tópicos altamente sensíveis, como preferências pornográficas e até sexo com menores de idade. Este é um bit de informação que ninguém quer ser vinculado a eles. E mesmo assim essas informações existem e combinadas com outros dados, eles podem identificar o usuário exato que fez a busca.

Esta é apenas uma das muitas ofertas da Jumpshot. Existem produtos projetados para rastrear sites de comércio eletrônico, navegação no YouTube e Facebook, rastreamento no Instagram e muito mais. Em dezembro de 2018, o Omnicom Media Group assinou um contrato com a Jumpshot para obter acesso ao seu pacote de todos os cliques. Normalmente, o Jumpshot remove PII (Informações de identificação pessoal) e as substitui pela ID do dispositivo para proteger a identificação do usuário. No entanto, quando se trata do Omnicom Media Group, a Jumpshot forneceu as informações com PII. Não apenas isso, mas o Omnicom Media Group também solicitou que a Jumpshot fornecesse dados relacionados à string de URL e até a idade e sexo da pessoa que estava navegando na web.

Não está claro por que a Omnicom quer os dados. A empresa não respondeu às nossas perguntas. Mas o contrato levanta a perspectiva perturbadora que a Omnicom pode desvendar os dados da Jumpshot para identificar usuários individuais.

Embora a própria Omnicom não possua uma grande plataforma de internet, os dados da Jumpshot estão sendo enviados para uma subsidiária chamada Annalect, que oferece soluções de tecnologia para ajudar as empresas a mesclar suas próprias informações de clientes com dados de terceiros. O contrato de três anos entrou em vigor em janeiro de 2019 e dá à Omnicom acesso aos dados diários de fluxo de cliques em 14 mercados, incluindo EUA, Índia e Reino Unido. Em troca, a Jumpshot recebe US$ 6.5 milhões.

- PC Mag

Não há informações sobre o número de empresas que têm acesso aos dados. O site da empresa lista IBM, Microsoft e Google como parceiros. No entanto, a Microsoft confirmou que a empresa não tem relacionamento atual. A IBM, por outro lado, disse que “não tem registro” de ter sido cliente da Avast ou Jumpshot. O Google se recusou a comentar o assunto.

Wladimir Palant é a pessoa original que desencadeou toda a investigação quando notou algo estranho com as extensões de navegador da empresa de antivírus: eles estavam registrando todos os sites visitados junto com um ID de usuário e enviando as informações para o Avast. Quando chamados, a Mozilla e o Google removeram a extensão que mais tarde foi adicionada quando o Avast adicionou novos recursos de privacidade à extensão.

A agregação normalmente significa que os dados de vários usuários são combinados. Se os clientes Jumpshot ainda puderem ver dados de usuários individuais, isso é muito ruim.

É difícil imaginar que qualquer algoritmo de anonimização seja capaz de remover todos os dados relevantes. Existem simplesmente muitos sites por aí, e cada um deles faz algo diferente.

– Wladimir Palant, pesquisador de segurança

É quase impossível desidentificar dados. Isso soa como uma prática de negócios terrível. Eles deveriam estar protegendo os consumidores de ameaças, em vez de expô-los a ameaças.

– Eric Goldman, codiretor do High Tech Law Institute da Santa Clara University

Tanto a PC Mag quanto a Motherboard tentaram entrar em contato com a Avast e Jumpshot para esclarecimentos, mas não obtiveram resposta. A Avast disse que a empresa não coletará mais dados para fins de marketing.

Descontinuamos completamente a prática de usar quaisquer dados das extensões do navegador para qualquer outra finalidade que não seja o mecanismo de segurança principal, incluindo o compartilhamento com o Jumpshot…

Os usuários sempre tiveram a capacidade de optar por não compartilhar dados com o Jumpshot. Em julho de 2019, já havíamos começado a implementar uma opção de opt-in explícita para todos os novos downloads de nosso antivírus (antivírus), e agora também estamos solicitando que nossos usuários gratuitos existentes façam uma escolha explícita, um processo que será concluído em fevereiro de 2020

-Avast

Ao instalar o Avast, a empresa pergunta aos usuários “Se importam em compartilhar alguns dados conosco?” O pop-up continuará informando que os dados coletados serão desidentificados e agregados como forma de proteger sua privacidade. No entanto, o pop-up não divulga informações sobre o processo de desidentificação ou como os dados combinados com outras informações podem revelar sua verdadeira identidade. Além disso, a Motherboard perguntou aos usuários do Avast sobre isso e a maioria deles disse que não tem ideia sobre as políticas de coleta de dados e como estão sendo usadas.

A conclusão é que é melhor pagar pelo software para garantir sua privacidade. Além disso, é sempre uma boa ideia ler a declaração de privacidade e garantir que os dados coletados sejam tratados com cuidado. Depois de analisar o caso, recomendamos que nossos usuários desinstalem o Avast ou o AVG imediatamente. Para usuários do Windows 10, o próprio Windows Defender da Microsoft fornece quase todos os recursos de segurança necessários para um indivíduo. Além disso, você pode usar o Malwarebytes para proteção avançada ou comprar um dos antivírus premium disponíveis no mercado. Nós nunca recomendamos a instalação de freeware até que você tenha certeza absoluta sobre suas políticas, especialmente quando se trata de lidar com partes críticas do seu computador, como segurança e privacidade.