Антивирус Avast шпионит за вами. Вот как

Avast был одним из антивирусов, который выдержал испытание временем и был бесплатным в течение почти десяти лет. Антивирусу не хватает расширенных функций, но он предоставляет достаточно, чтобы охватить людей, которые не хотят разоряться на антивирусное программное обеспечение премиум-класса. Однако похоже, что Avast бесплатен не просто так, а не потому, что компания хочет, чтобы каждый имел доступ к антивирусу.

Согласно совместному расследованию PCMag и Материнская плата, похоже, что Avast собирает ваши данные, чтобы оплачивать свои расходы и бесплатное антивирусное программное обеспечение. Отчет основан на просочившихся документах, которые включают пользовательские данные, контракты и другие документы компании. Эти документы свидетельствуют о продаже крайне конфиденциальных данных, собранных компанией. Первичные данные поступают от Jumpshot, дочерней компании Avast.

Система работает эффективно: Avast собирает данные, а Jumpshot переупаковывает данные, чтобы продавать их крупным именам в технологической отрасли. В список клиентов Jumpshot входят Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit и многие другие. Компания предоставляет так называемый пакет All Clicks Feed, который может отслеживать поведение, клики и даже перемещения по веб-сайтам. Это помогает таким компаниям, как Home Depot и Amazon, с предельной точностью изучать поведение пользователей, включая ваши привычки при совершении покупок и просмотре страниц.

Собранные данные настолько детализированы, что клиенты могут просматривать отдельные клики, которые пользователи совершают в своих сеансах просмотра, включая время до миллисекунды. И хотя собранные данные никогда не связаны с именем человека, электронной почтой или IP-адресом, тем не менее, каждой пользовательской истории присваивается идентификатор, называемый идентификатором устройства, который будет сохраняться до тех пор, пока пользователь не удалит антивирусный продукт Avast.

- PCMag

PCMag сказал, что отслеживание включает в себя все, от просмотра до покупок. Например, Avast может отслеживать пользователя, просматривающего Amazon и выбирающего продукт, который затем покупается указанным пользователем. PCMag отмечает, что, хотя данные кажутся вам и мне безвредными, Amazon может использовать точное время, чтобы узнать пользователя, совершившего покупку. Это внезапно изменит анонимные данные на те, которые можно идентифицировать.

На первый взгляд щелчок выглядит безобидным. Вы не можете привязать его к конкретному пользователю. То есть, если вы не Amazon.com, который может легко выяснить, какой пользователь Amazon купил iPad Pro в 12:03:05 1 декабря 2019 года. Идентификатор устройства: 123abcx неожиданно оказался известным пользователем. И все, что есть у Jumpshot об активности 123abcx — от других покупок в электронной коммерции до поиска в Google — больше не является анонимным.

- PCMag

Эксперты по конфиденциальности, похоже, согласны с тем фактом, что данные, собранные такими компаниями, как Amazon, и данные, собранные Jumpshot, довольно безвредны, если их разделить. Однако ситуация принимает худший оборот, когда вы объединяете оба данных, поскольку компании внезапно получают всю информацию, необходимую им для точного определения одного пользователя и его привычек просмотра/покупок.

Большинство угроз, связанных с деанонимизацией, когда вы идентифицируете людей, исходят из возможности объединить информацию с другими данными.

Возможно, сами данные (Jumpshot) не идентифицируют людей. Может быть, это просто список хэшированных идентификаторов пользователей и некоторых URL-адресов. Но ее всегда можно объединить с другими данными от других маркетологов, других рекламодателей, которые в основном могут получить настоящую личность.

– Гюнеш Акар, исследователь конфиденциальности

К сожалению, худшее еще впереди. Согласно журналам, просмотренным PCMag и Motherboard, сбор данных на этом не заканчивается. Похоже, что Avast собирает данные о поиске на приземленные темы, а также на очень деликатные темы, такие как предпочтения в отношении порно и даже секс с несовершеннолетними. Это одна крупица информации, которую никто не хочет привязывать к себе. И все же эта информация существует и в сочетании с другими данными они могут точно определить пользователя, который произвел поиск.

Это лишь одно из многих предложений от Jumpshot. Существуют продукты, предназначенные для отслеживания веб-сайтов электронной коммерции, просмотра YouTube и Facebook, отслеживания Instagram и многого другого. В декабре 2018 года Omnicom Media Group подписала контракт с Jumpshot на получение доступа к их пакету all-clicks. Обычно Jumpshot удаляет PII (личную информацию) и заменяет ее идентификатором устройства, чтобы защитить идентификацию пользователя. Однако, когда дело дошло до Omnicom Media Group, Jumpshot предоставил информацию с PII. Кроме того, Omnicom Media Group также запросила у Jumpshot данные, связанные со строкой URL-адреса и даже с возрастом и полом человека, который просматривал веб-страницы.

Непонятно, зачем Omnicom нужны данные. Компания не ответила на наши вопросы. Но контракт создает тревожную перспективу, что Omnicom сможет расшифровать данные Jumpshot, чтобы идентифицировать отдельных пользователей.

Хотя сама Omnicom не владеет крупной интернет-платформой, данные Jumpshot отправляются в дочернюю компанию Annalect, которая предлагает технологические решения, помогающие компаниям объединять собственную информацию о клиентах с данными третьих сторон. Трехлетний контракт вступил в силу в январе 2019 года и дает Omnicom доступ к ежедневным данным о потоках кликов на 14 рынках, включая США, Индию и Великобританию. Взамен Jumpshot получает 6.5 миллиона долларов.

- ПК Маг

Информации о количестве компаний, имеющих доступ к данным, нет. На веб-сайте компании в качестве партнеров указаны IBM, Microsoft и Google. Однако Microsoft подтвердила, что у компании нет текущих отношений. IBM, с другой стороны, заявила, что у нее «нет записей» о том, что она когда-либо была клиентом Avast или Jumpshot. Google отказался комментировать этот вопрос.

Владимир Палант — первый человек, который спровоцировал все расследование, когда заметил что-то странное с расширениями браузера антивирусной компании: они регистрировали каждый посещенный веб-сайт вместе с идентификатором пользователя и отправляли информацию в Avast. Когда их призвали, Mozilla и Google удалили расширение, которое позже было добавлено обратно, когда Avast добавила в расширение новые функции конфиденциальности.

Агрегация обычно означает объединение данных нескольких пользователей. Если клиенты Jumpshot все еще могут видеть данные отдельных пользователей, это очень плохо.

Трудно представить, что любой алгоритм анонимизации сможет удалить все соответствующие данные. Сайтов слишком много, и каждый из них делает что-то свое.

– Владимир Палант, исследователь безопасности

Практически невозможно деидентифицировать данные. Это просто звучит как ужасная деловая практика. Они должны защищать потребителей от угроз, а не подвергать их угрозам.

– Эрик Голдман, содиректор Юридического института высоких технологий Университета Санта-Клары.

И PC Mag, и Motherboard пытались обратиться к Avast и Jumpshot за разъяснениями, но не получили ответа. Avast заявил, что компания больше не будет собирать данные для маркетинговых целей.

Мы полностью прекратили использование любых данных из расширений браузера для каких-либо целей, кроме основной системы безопасности, в том числе совместное использование с Jumpshot…

Пользователи всегда имели возможность отказаться от обмена данными с Jumpshot. По состоянию на июль 2019 года мы уже начали реализовывать явный выбор выбора для всех новых загрузок нашего AV (антивируса), и теперь мы также предлагаем нашим существующим бесплатным пользователям сделать явный выбор, процесс, который будет завершен в февраль 2020 г.

– Аваст

При установке Avast компания спрашивает пользователей: «Не могли бы вы поделиться с нами некоторыми данными?» Затем всплывающее окно сообщит вам, что собранные данные будут деидентифицированы и объединены в целях защиты вашей конфиденциальности. Однако всплывающее окно не раскрывает информацию о процессе деидентификации или о том, как данные в сочетании с другой информацией могут раскрыть вашу настоящую личность. Более того, Motherboard спросила об этом пользователей Avast, и большинство из них сказали, что понятия не имеют о политиках сбора данных и о том, как они используются.

Суть в том, что лучше заплатить за программное обеспечение, чтобы обеспечить вашу конфиденциальность. Кроме того, всегда полезно ознакомиться с заявлением о конфиденциальности и убедиться, что собранные данные обрабатываются с осторожностью. После рассмотрения дела мы рекомендуем нашим пользователям немедленно удалить Avast или AVG. Для пользователей Windows 10 собственный Защитник Windows от Microsoft предоставляет почти все функции безопасности, необходимые человеку. Кроме того, вы можете использовать Malwarebytes для расширенной защиты или купить один из антивирусов премиум-класса, доступных на рынке. Мы никогда не рекомендуем устанавливать бесплатное программное обеспечение, пока вы не будете абсолютно уверены в их политике, особенно когда речь идет об управлении критически важными частями вашего компьютера, такими как безопасность и конфиденциальность.