Avast antivirus spionerar på dig. Här är hur

Avast har varit ett antivirus som har bestått tidens tand och har varit gratis i nästan ett decennium. Antiviruset saknar avancerade funktioner men ger tillräckligt för att täcka individer som inte vill bryta banken för ett premium antivirusprogram. Det verkar dock som att det finns en anledning till varför Avast är gratis och det är inte för att företaget vill att alla ska ha tillgång till antivirus.

Enligt en gemensam utredning av PCMag och Moderkort, det ser ut som att Avast samlar in dina data för att betala för deras utgifter och det kostnadsfria antivirusprogrammet. Rapporten bygger på läckta dokument som inkluderar användardata, kontrakt och andra företagsdokument. Dessa dokument visar försäljningen av de mycket känsliga uppgifter som samlats in av företaget. Den primära informationen kommer från Jumpshot, ett dotterbolag till Avast.

Systemet fungerar på ett effektivt sätt där Avast samlar in data och Jumpshot packar om data för att sälja den till de stora namnen inom teknikbranschen. Jumpshots kundlista inkluderar Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit och många andra. Företaget tillhandahåller ett så kallat "All Clicks Feed"-paket som kan spåra beteende, klick och till och med rörelser över webbplatser. Detta hjälper företag som Home Depot och Amazon att lära sig användarbeteendet med extrem precision, inklusive dina shopping- och surfvanor.

Den insamlade informationen är så detaljerad att kunderna kan se de individuella klicken användare gör på sina surfsessioner, inklusive tiden ner till millisekunden. Och även om den insamlade informationen aldrig är kopplad till en persons namn, e-postadress eller IP-adress, tilldelas varje användarhistorik ändå en identifierare som kallas enhets-ID, som kommer att finnas kvar om inte användaren avinstallerar Avast antivirusprodukt.

– PCMag

PCMag sa att spårningen inkluderar allt från surfning och shopping. Till exempel kan Avast spåra en användare som surfar genom Amazon och väljer en produkt som sedan köps av nämnda användare. PCMag påpekar att även om uppgifterna verkar ofarliga för dig och mig, kan Amazon använda den exakta tiden för att ta reda på användaren som gjorde köpet. Detta kommer plötsligt att ändra den anonymiserade informationen till en som kan identifieras.

Vid första anblicken ser klicket ofarligt ut. Du kan inte fästa den till en exakt användare. Det vill säga, såvida du inte är Amazon.com, vilket enkelt kan ta reda på vilken Amazon-användare som köpte en iPad Pro klockan 12:03:05 den 1 december 2019. Plötsligt är enhets-ID: 123abcx en känd användare. Och allt annat som Jumpshot har om 123abcx aktivitet – från andra e-handelsköp till Google-sökningar – är inte längre anonymt.

– PCMag

Sekretessexperter verkar vara överens om det faktum att data som samlas in av företag som Amazon och data som samlas in av Jumpshot är ganska ofarliga när de är åtskilda. Det tar dock en vändning till det värsta när man kombinerar både data då företag plötsligt har all information de behöver för att peka ut en enskild användare och deras surf-/shoppingvanor.

De flesta av de hot som avanonymisering utgör – där du identifierar personer – kommer från möjligheten att slå samman informationen med annan data.

Kanske identifierar inte själva (Jumpshot)-datan personer. Kanske är det bara en lista med hashade användar-ID och några webbadresser. Men det går alltid att kombinera med annan data från andra marknadsförare, andra annonsörer, som i princip kan komma fram till den verkliga identiteten.

– Gunes Acar, integritetsforskare

Tyvärr är det värsta att komma. Enligt loggarna som granskats av PCMag och Motherboard slutar inte datainsamlingen här. Avast verkar ha samlat in data om vardagliga ämnens sökningar såväl som mycket känsliga ämnen som porrpreferenser och till och med minderåriga sex. Detta är en bit information som ingen vill vara bunden till dem. Och ändå finns denna information och i kombination med annan data kan de peka ut den exakta användaren som gjorde sökningen.

Detta är bara ett av de många erbjudandena från Jumpshot. Det finns produkter utformade för att spåra e-handelswebbplatser, surfning på YouTube och Facebook, spårning på Instagram och mer. I december 2018 skrev Omnicom Media Group på ett kontrakt med Jumpshot för att få tillgång till deras paket med alla klick. Normalt tar Jumpshot bort PII (Personally Identifiable Information) och ersätter den med Device ID för att skydda användarens identitet. Men när det kom till Omnicom Media Group tillhandahöll Jumpshot informationen med PII. Inte bara det, utan Omnicom Media Group begärde också att Jumpshot skulle tillhandahålla data relaterade till URL-strängen och till och med åldern och könet på personen som surfade på webben.

Det är oklart varför Omnicom vill ha uppgifterna. Företaget svarade inte på våra frågor. Men kontraktet väcker den oroande möjligheten att Omnicom kan reda ut Jumpshots data för att identifiera enskilda användare.

Även om Omnicom inte själv äger någon större internetplattform, skickas Jumpshot-data till ett dotterbolag som heter Annalect, som erbjuder tekniska lösningar för att hjälpa företag att slå samman sin egen kundinformation med data från tredje part. Det treåriga avtalet trädde i kraft i januari 2019 och ger Omnicom tillgång till den dagliga klickströmdatan på 14 marknader, inklusive USA, Indien och Storbritannien. I gengäld får Jumpshot 6.5 miljoner dollar i betalt.

– PC Mag

Det finns ingen information om antalet företag som har tillgång till uppgifterna. Företagets webbplats listar IBM, Microsoft och Google som partners. Microsoft bekräftade dock att företaget inte har någon aktuell relation. IBM, å andra sidan, sa att de "inte har några rekord" av att någonsin vara kund till Avast eller Jumpshot. Google avböjde att kommentera ärendet.

Wladimir Palant är den ursprungliga personen som utlöste hela utredningen när han märkte något konstigt med antivirusföretagets webbläsartillägg: De loggade alla besökta webbplatser tillsammans med ett användar-ID och skickade informationen till Avast. När Mozilla och Google ringde upp tog Mozilla och Google bort tillägget som senare lades till när Avast lade till nya sekretessfunktioner till tillägget.

Aggregation skulle normalt innebära att data från flera användare kombineras. Om Jumpshot-klienter fortfarande kan se data från enskilda användare är det riktigt dåligt.

Det är svårt att föreställa sig att någon anonymiseringsalgoritm kommer att kunna ta bort all relevant data. Det finns helt enkelt för många webbplatser där ute, och var och en av dem gör något annorlunda.

– Wladimir Palant, säkerhetsforskare

Det är nästan omöjligt att avidentifiera data. Det låter bara som en hemsk affärspraxis. De ska skydda konsumenter från hot snarare än att utsätta dem för hot.

– Eric Goldman, meddirektör för High Tech Law Institute vid Santa Clara University

Både PC Mag och Motherboard försökte nå ut till Avast och Jumpshot för förtydliganden men de fick inget svar. Avast sa att företaget inte längre kommer att samla in data för marknadsföringsändamål.

Vi slutade helt att använda all data från webbläsartilläggen för något annat ändamål än kärnsäkerhetsmotorn, inklusive delning med Jumpshot...

Användare har alltid haft möjligheten att välja bort datadelning med Jumpshot. Från och med juli 2019 hade vi redan börjat implementera ett uttryckligt val för alla nya nedladdningar av vårt AV (antivirus), och vi uppmanar nu även våra befintliga gratisanvändare att göra ett uttryckligt val, en process som kommer att slutföras i februari 2020

– Avast

När du installerar Avast frågar företaget användarna "Vill du dela lite data med oss?" Popup-fönstret fortsätter sedan för att tala om för dig att den insamlade informationen kommer att avidentifieras och aggregeras som ett sätt att skydda din integritet. Men popup-fönstret avslöjar inte information om avidentifieringsprocessen eller hur data i kombination med annan information kan avslöja din sanna identitet. Dessutom frågade Motherboard Avast-användare om det och de flesta av dem sa att de inte har någon aning om datainsamlingspolicyn och hur den används.

Summan av kardemumman är att det är bättre att betala för programvaran för att säkerställa din integritet. Dessutom är det alltid en bra idé att läsa sekretesspolicyn och se till att de insamlade uppgifterna hanteras med försiktighet. Efter att ha tittat på fallet rekommenderar vi våra användare att omedelbart avinstallera Avast eller AVG. För Windows 10-användare tillhandahåller Microsofts egen Windows Defender nästan alla säkerhetsfunktioner som en individ behöver. Bortsett från det kan du gå med Malwarebytes för avancerat skydd eller köpa ett av de premium antivirus som finns på marknaden. Vi rekommenderar aldrig att du installerar gratisprogram förrän du är helt säker på deras policy, särskilt när det gäller att hantera kritiska delar av din dator som säkerhet och integritet.