Antivírus Avast vás špehuje. Tu je návod

Avast je jedným z antivírusov, ktoré obstáli v skúške časom a sú zadarmo už takmer desať rokov. Antivírusu chýbajú pokročilé funkcie, ale poskytuje dostatok na to, aby pokryl jednotlivcov, ktorí nechcú zničiť peniaze za prémiový antivírusový softvér. Zdá sa však, že existuje dôvod, prečo je Avast bezplatný, a nie preto, že by spoločnosť chcela, aby mal každý prístup k antivírusu.

Podľa spoločného vyšetrovania PCMag a Základná doskaZdá sa, že Avast zbiera vaše dáta, aby zaplatil za svoje výdavky a bezplatný antivírusový softvér. Správa sa opiera o uniknuté dokumenty, ktoré zahŕňajú používateľské údaje, zmluvy a ďalšie firemné dokumenty. Tieto dokumenty ukazujú predaj vysoko citlivých údajov zhromaždených spoločnosťou. Primárne údaje pochádzajú od Jumpshot, dcérskej spoločnosti Avastu.

Systém funguje efektívnym spôsobom, keď Avast zhromažďuje údaje a Jumpshot prebaľuje údaje, aby ich predal veľkým menám v technologickom priemysle. Zoznam klientov Jumpshot zahŕňa Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit a mnoho ďalších. Spoločnosť poskytuje takzvaný balík „All Clicks Feed“, ktorý dokáže sledovať správanie, kliknutia a dokonca aj pohyby na webových stránkach. To pomáha spoločnostiam ako Home Depot a Amazon naučiť sa správanie používateľov s extrémnou presnosťou vrátane vašich nákupných a prehliadacích návykov.

Zhromaždené údaje sú také podrobné, že klienti môžu zobraziť jednotlivé kliknutia, ktoré používatelia uskutočňujú počas relácií prehliadania, vrátane času s presnosťou na milisekúndu. A hoci zhromaždené údaje nie sú nikdy prepojené s menom, e-mailom alebo IP adresou osoby, každá používateľská história je napriek tomu priradená k identifikátoru nazývanému ID zariadenia, ktorý zostane zachovaný, pokiaľ používateľ neodinštaluje antivírusový produkt Avast.

– PCMag

PCMag uviedol, že sledovanie zahŕňa všetko od prehliadania a nakupovania. Avast by napríklad mohol sledovať používateľa, ktorý si prechádza cez Amazon a vyberá si produkt, ktorý si potom daný používateľ zakúpi. PCMag poukazuje na to, že zatiaľ čo údaje sa vám a mne zdajú neškodné, Amazon môže použiť presný čas na zistenie používateľa, ktorý uskutočnil nákup. Tým sa náhle zmenia anonymizované údaje na také, ktoré sa dajú identifikovať.

Na prvý pohľad klik vyzerá neškodne. Nemôžete ho pripnúť konkrétnemu používateľovi. Teda pokiaľ nie ste Amazon.com, ktorý by mohol ľahko zistiť, ktorý používateľ Amazonu si kúpil iPad Pro o 12:03:05 dňa 1. decembra 2019. ID zariadenia: 123abcx je zrazu známy používateľ. A čokoľvek ďalšie má Jumpshot o aktivite 123abcx – od iných nákupov v elektronickom obchode až po vyhľadávania Google – už nie je anonymné.

– PCMag

Zdá sa, že odborníci na ochranu osobných údajov súhlasia s tým, že údaje zhromaždené spoločnosťami ako Amazon a údaje zhromaždené Jumpshotom sú celkom neškodné, keď sú oddelené. Veci sa však zhoršia, keď skombinujete obe údaje, pretože spoločnosti zrazu majú všetky informácie, ktoré potrebujú na určenie jedného používateľa a jeho zvykov pri prehliadaní/nakupovaní.

Väčšina hrozieb, ktoré predstavuje deanonymizácia – kde identifikujete ľudí – pochádza zo schopnosti zlúčiť informácie s inými údajmi.

Možno, že údaje (Jumpshot) samotné neidentifikujú ľudí. Možno je to len zoznam hashovaných ID používateľov a niektorých adries URL. Vždy sa však dá skombinovať s inými údajmi od iných obchodníkov, iných inzerentov, ktorí v podstate dokážu dospieť k skutočnej identite.

– Gunes Acar, výskumník v oblasti ochrany súkromia

Bohužiaľ, to najhoršie ešte len príde. Podľa protokolov skontrolovaných spoločnosťami PCMag a Motherboard tu zber údajov nekončí. Zdá sa, že Avast zhromaždil údaje o vyhľadávaní svetských tém, ako aj o veľmi citlivých témach, ako sú preferencie porna a dokonca aj sex s neplnoletými. Toto je jedna informácia, ku ktorej sa nikto nechce viazať. Napriek tomu tieto informácie existujú a v kombinácii s inými údajmi môžu určiť presného používateľa, ktorý vykonal vyhľadávanie.

Toto je len jedna z mnohých ponúk od Jumpshot. Existujú produkty určené na sledovanie webových stránok elektronického obchodu, prehliadania YouTube a Facebooku, sledovanie Instagramu a ďalšie. V decembri 2018 podpísala Omnicom Media Group zmluvu so spoločnosťou Jumpshot, aby získala prístup k ich balíku všetkých kliknutí. Za normálnych okolností Jumpshot odstráni PII (Personally Identifiable Information) a nahradí ho ID zariadenia na ochranu identifikácie používateľa. Pokiaľ však išlo o Omnicom Media Group, Jumpshot poskytol informácie s PII. A nielen to, Omnicom Media Group tiež požiadala Jumpshot o poskytnutie údajov súvisiacich s reťazcom URL a dokonca aj s vekom a pohlavím osoby, ktorá si prehliadala web.

Nie je jasné, prečo chce Omnicom údaje. Spoločnosť na naše otázky nereagovala. Zmluva však vyvoláva znepokojujúcu vyhliadku, že Omnicom môže odhaliť údaje Jumpshotu a identifikovať jednotlivých používateľov.

Hoci samotný Omnicom nevlastní veľkú internetovú platformu, údaje Jumpshot sa posielajú dcérskej spoločnosti s názvom Annalect, ktorá ponúka technologické riešenia, ktoré spoločnostiam pomôžu zlúčiť informácie o vlastných zákazníkoch s údajmi tretích strán. Trojročná zmluva vstúpila do platnosti v januári 2019 a poskytuje spoločnosti Omnicom prístup k denným údajom o kliknutiach na 14 trhoch vrátane USA, Indie a Spojeného kráľovstva. Na oplátku dostane Jumpshot zaplatených 6.5 milióna dolárov.

– PC Mag

Neexistujú žiadne informácie o počte spoločností, ktoré majú prístup k údajom. Webová stránka spoločnosti uvádza ako partnerov IBM, Microsoft a Google. Microsoft však potvrdil, že spoločnosť nemá žiadny súčasný vzťah. Na druhej strane IBM uviedla, že nemá „žiadne záznamy“ o tom, že by bola klientom Avastu alebo Jumpshotu. Google celú záležitosť odmietol komentovať.

Wladimir Palant je pôvodná osoba, ktorá podnietila celé vyšetrovanie, keď si všimol niečo zvláštne na rozšíreniach prehliadača antivírusovej spoločnosti: Všetky navštívené webové stránky zaznamenávali spolu s ID používateľa a odosielali informácie spoločnosti Avast. Po výzve Mozilla a Google odstránili rozšírenie, ktoré bolo neskôr pridané, keď Avast pridal do rozšírenia nové funkcie ochrany osobných údajov.

Agregácia by za normálnych okolností znamenala spojenie údajov viacerých používateľov. Ak klienti Jumpshot stále vidia údaje jednotlivých používateľov, je to naozaj zlé.

Je ťažké si predstaviť, že akýkoľvek anonymizačný algoritmus bude schopný odstrániť všetky relevantné údaje. Existuje jednoducho príliš veľa webových stránok a každá z nich robí niečo iné.

– Wladimir Palant, bezpečnostný výskumník

Deidentifikovať údaje je takmer nemožné. To znie ako hrozná obchodná praktika. Majú chrániť spotrebiteľov pred hrozbami, a nie ich vystavovať hrozbám.

– Eric Goldman, spoluriaditeľ High Tech Law Institute na Univerzite v Santa Clare

PC Mag aj základná doska sa pokúsili osloviť Avast a Jumpshot kvôli objasneniu, ale nedostali odpoveď. Avast povedal, že spoločnosť už nebude zbierať údaje na marketingové účely.

Úplne sme prestali používať akékoľvek údaje z rozšírení prehliadača na akýkoľvek iný účel, ako je hlavný bezpečnostný nástroj, vrátane zdieľania s Jumpshot…

Používatelia mali vždy možnosť zrušiť zdieľanie údajov so službou Jumpshot. V júli 2019 sme už začali implementovať výslovnú možnosť voľby pre všetky nové prevzatia nášho AV (antivírusu) a teraz tiež vyzývame našich existujúcich bezplatných používateľov, aby urobili výslovnú voľbu, proces, ktorý bude dokončený o február 2020

– Avast

Pri inštalácii Avast sa spoločnosť pýta používateľov: „Nechcete s nami zdieľať nejaké údaje? Vyskakovacie okno vám potom oznámi, že zhromaždené údaje budú deidentifikované a agregované, aby ste ochránili vaše súkromie. Vyskakovacie okno však nezverejňuje informácie o procese deidentifikácie ani o tom, ako môžu údaje v kombinácii s inými informáciami odhaliť vašu skutočnú identitu. Okrem toho sa základná doska opýtala používateľov Avastu a väčšina z nich povedala, že nemajú potuchy o zásadách zhromažďovania údajov a o tom, ako sa používajú.

Pointa je, že je lepšie zaplatiť za softvér, aby ste si zabezpečili súkromie. Okrem toho je vždy dobré prečítať si vyhlásenie o ochrane osobných údajov a zabezpečiť, aby sa so zhromaždenými údajmi zaobchádzalo opatrne. Po preštudovaní prípadu odporúčame našim používateľom okamžite odinštalovať Avast alebo AVG. Pre používateľov systému Windows 10 poskytuje vlastný program Windows Defender od spoločnosti Microsoft takmer všetky funkcie zabezpečenia, ktoré jednotlivec potrebuje. Okrem toho môžete použiť Malwarebytes na pokročilú ochranu alebo si kúpiť jeden z prémiových antivírusov dostupných na trhu. Nikdy neodporúčame inštalovať freeware, kým si nie ste úplne istí jeho zásadami, najmä pokiaľ ide o zaobchádzanie s kritickými časťami vášho počítača, ako je bezpečnosť a súkromie.