Антивірус Avast шпигує за вами. Ось як

Avast був антивірусом, який витримав перевірку часом і був безкоштовним протягом майже десятиліття. Антивірусу не вистачає розширених функцій, але він надає достатньо, щоб охопити людей, які не хочуть шукати преміум антивірусне програмне забезпечення. Однак, схоже, є причина, чому Avast є безкоштовним, а не тому, що компанія хоче, щоб кожен мав доступ до антивірусу.

За даними спільного розслідування с PCMag та Материнська плата, схоже, Avast збирає ваші дані, щоб оплатити свої витрати та безкоштовне антивірусне програмне забезпечення. Звіт спирається на документи, що витікали, зокрема дані користувачів, контракти та інші документи компанії. Ці документи свідчать про продаж дуже конфіденційних даних, зібраних компанією. Основні дані надходять від Jumpshot, дочірньої компанії Avast.

Система працює ефективно, коли Avast збирає дані, а Jumpshot перепаковує дані, щоб продати їх великим іменам у технологічній індустрії. Список клієнтів Jumpshot включає Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit та багато інших. Компанія надає так званий пакет «Канал усіх кліків», який може відстежувати поведінку, кліки та навіть переміщення на веб-сайтах. Це допомагає таким компаніям, як Home Depot і Amazon, вивчати поведінку користувачів з надзвичайною точністю, включаючи ваші звички покупок і перегляду.

Зібрані дані настільки детальні, що клієнти можуть переглядати окремі кліки, які користувачі роблять під час своїх сеансів перегляду, включаючи час до мілісекунд. І хоча зібрані дані ніколи не пов’язуються з іменем людини, електронною поштою чи IP-адресою, кожній історії користувача призначається ідентифікатор, який називається ідентифікатором пристрою, який зберігатиметься, доки користувач не видалить антивірусний продукт Avast.

– PCMag

PCMag сказав, що відстеження включає все, починаючи від перегляду та покупок. Наприклад, Avast може відстежувати користувача, який переглядає Amazon і вибирає продукт, який потім купує зазначений користувач. PCMag зазначає, що хоча дані здаються нешкідливими для нас із вами, Amazon може використати точний час, щоб дізнатися користувача, який зробив покупку. Це раптово змінить анонімні дані на такі, які можна ідентифікувати.

На перший погляд клацання виглядає нешкідливим. Ви не можете прикріпити його до конкретного користувача. Тобто, якщо ви не Amazon.com, який може легко з’ясувати, який користувач Amazon купив iPad Pro о 12:03:05 1 грудня 2019 року. Раптом ідентифікатор пристрою: 123abcx — відомий користувач. І все, що має Jumpshot щодо діяльності 123abcx — від інших покупок в електронній комерції до пошуків у Google — більше не є анонімним.

– PCMag

Експерти з конфіденційності, здається, погоджуються з тим фактом, що дані, зібрані такими компаніями, як Amazon, і дані, зібрані Jumpshot, досить нешкідливі, якщо їх розділити. Однак ситуація змінюється на найгірший лад, коли ви об’єднуєте обидві дані, оскільки компанії раптом мають усю інформацію, необхідну для визначення окремого користувача та його звичок перегляду та покупок.

Більшість загроз, які створює деанонімізація — коли ви ідентифікуєте людей — походить від можливості об’єднати інформацію з іншими даними.

Можливо, дані (Jumpshot) самі по собі не ідентифікують людей. Можливо, це просто список хешованих ідентифікаторів користувачів і деяких URL-адрес. Але його завжди можна поєднати з іншими даними від інших маркетологів, інших рекламодавців, які в основному можуть отримати справжню ідентичність.

– Гюнес Акар, дослідник конфіденційності

На жаль, найгірше ще попереду. Згідно з журналами, переглянутими PCMag і материнською платою, збір даних на цьому не закінчується. Avast, схоже, зібрав дані про звичайні пошукові теми, а також дуже чутливі теми, як-от уподобання порнографії та навіть секс неповнолітніх. Це одна частина інформації, яку ніхто не хоче прив’язувати до них. І все ж ця інформація існує і в поєднанні з іншими даними вони можуть точно визначити користувача, який здійснив пошук.

Це лише одна з багатьох пропозицій від Jumpshot. Є продукти, призначені для відстеження веб-сайтів електронної комерції, перегляду YouTube і Facebook, відстеження Instagram тощо. У грудні 2018 року Omnicom Media Group підписала контракт з Jumpshot, щоб отримати доступ до їхнього пакету з можливістю використання всіх кліків. Зазвичай Jumpshot видаляє PII (персональну ідентифікаційну інформацію) і замінює її ідентифікатором пристрою, щоб захистити ідентифікацію користувача. Однак, коли мова йшла про Omnicom Media Group, Jumpshot надав інформацію з ідентифікаційною інформацією. Мало того, Omnicom Media Group також попросила Jumpshot надати дані, пов’язані з рядком URL і навіть віком і статтю людини, яка переглядала веб-сторінки.

Незрозуміло, чому Omnicom потрібні дані. Компанія не відповіла на наші запитання. Але контракт викликає тривожну перспективу, що Omnicom може розгадати дані Jumpshot, щоб ідентифікувати окремих користувачів.

Хоча сама Omnicom не володіє великою інтернет-платформою, дані Jumpshot надсилаються до дочірньої компанії під назвою Annalect, яка пропонує технологічні рішення, щоб допомогти компаніям об’єднати власну інформацію про клієнтів із даними третьої сторони. Трирічний контракт набув чинності в січні 2019 року і надає Omnicom доступ до щоденних даних про кліки на 14 ринках, включаючи США, Індію та Великобританію. Натомість Jumpshot отримує 6.5 мільйона доларів.

– ПК Маг

Немає інформації про кількість компаній, які мають доступ до даних. На веб-сайті компанії в якості партнерів вказані IBM, Microsoft і Google. Однак Microsoft підтвердила, що у компанії немає поточних відносин. IBM, з іншого боку, заявила, що «не має записів» про те, що коли-небудь була клієнтом Avast або Jumpshot. Google відмовився коментувати це питання.

Володимир Палант — первісна людина, яка ініціювала все розслідування, коли помітив щось дивне з розширеннями браузера антивірусної компанії: вони реєстрували кожен відвідуваний веб-сайт разом із ідентифікатором користувача та надсилали інформацію в Avast. Після виклику Mozilla і Google видалили розширення, яке пізніше було додано назад, коли Avast додав до розширення нові функції конфіденційності.

Агрегація зазвичай означає, що дані кількох користувачів об’єднуються. Якщо клієнти Jumpshot все ще можуть бачити дані окремих користувачів, це дуже погано.

Важко уявити, що будь-який алгоритм анонімізації зможе видалити всі відповідні дані. Веб-сайтів просто занадто багато, і кожен з них робить щось своє.

– Володимир Палант, дослідник безпеки

Розпізнати дані майже неможливо. Це просто звучить як жахлива бізнес-практика. Вони повинні захищати споживачів від загроз, а не піддавати їх загрозам.

– Ерік Голдман, співдиректор Інституту права високих технологій в Університеті Санта-Клари

І PC Mag, і материнська плата намагалися звернутися до Avast і Jumpshot за роз’ясненнями, але вони не отримали відповіді. Avast повідомила, що компанія більше не збиратиметься з маркетинговими цілями.

Ми повністю припинили практику використання будь-яких даних з розширень браузера для будь-яких інших цілей, крім основного механізму безпеки, включаючи обмін з Jumpshot…

Користувачі завжди мали можливість відмовитися від обміну даними за допомогою Jumpshot. Станом на липень 2019 року ми вже почали реалізовувати явний вибір для всіх нових завантажень нашого AV (антивірусу), і тепер ми також пропонуємо нашим існуючим безкоштовним користувачам зробити явний вибір, процес, який буде завершено в лютий 2020 року

– Avast

Встановлюючи Avast, компанія запитує користувачів: «Не хочете поділитися з нами деякими даними?» Після цього спливаюче вікно повідомить вам, що зібрані дані будуть деідентифіковані та зведені, щоб захистити вашу конфіденційність. Однак спливаюче вікно не розкриває інформацію про процес деідентифікації або про те, як дані в поєднанні з іншою інформацією можуть розкрити вашу справжню особу. Більше того, материнська плата запитала про це користувачів Avast, і більшість із них відповіли, що не мають уявлення про політику збору даних та як вони використовуються.

Суть полягає в тому, що краще заплатити за програмне забезпечення, щоб забезпечити вашу конфіденційність. Крім того, завжди корисно прочитати заяву про конфіденційність і переконатися, що зібрані дані обробляються обережно. Після перегляду справи ми рекомендуємо нашим користувачам негайно видалити Avast або AVG. Для користувачів Windows 10 власний Windows Defender від Microsoft надає майже всі функції безпеки, необхідні для окремої особи. Крім того, ви можете використовувати Malwarebytes для розширеного захисту або придбати один з антивірусів преміум-класу, доступних на ринку. Ми ніколи не рекомендуємо встановлювати безкоштовне програмне забезпечення, поки ви повністю не впевнені в їхній політиці, особливо коли мова йде про роботу з критичними частинами вашого комп’ютера, як-от безпека та конфіденційність.