Avast Online Security e Avast Secure Browser ti stanno spiando

Avast Online Security e Avast Secure Browser ti stanno spiando
Questo articolo è stato tradotto automaticamente da Google Translator
Sei uno dei presunti 400 milioni di utenti dei prodotti antivirus Avast? Ho brutte notizie per te: probabilmente sei spiato. Il colpevole è l'estensione di Avast Online Security che questi prodotti richiedono di installare nel browser per offrire la massima protezione.

Ma anche se hai installato solo Avast Online Security, ciò non significa che non sei interessato. Avast Secure Browser infatti ha Avast Online Security installato per impostazione predefinita. È nascosto dalla lista delle estensioni e non può essere disinstallato con mezzi regolari, la sua funzionalità apparentemente considerata parte integrante del browser. I prodotti Avast promuovono fortemente questo browser e verranno utilizzati automaticamente anche in "Modalità bancaria". Dato che Avast ha acquistato AVG alcuni anni fa, esiste anche un AVG Secure Browser quasi identico con l'estensione AVG Online Security integrata.

Riepilogo dei risultati

Quando l'estensione Avast Online Security è attiva, richiederà informazioni sui siti Web visitati da un server Avast. Nel processo, trasmetterà dati che consentono di ricostruire l'intera cronologia di navigazione Web e gran parte del comportamento di navigazione. La quantità di dati inviati va ben oltre quanto necessario per il funzionamento dell'estensione, soprattutto se si confronta con soluzioni concorrenti come la Navigazione sicura di Google.

La politica sulla privacy di Avast copre questa funzionalità e afferma che è necessario fornire il servizio. La memorizzazione dei dati non è considerata problematica grazie all'anonimizzazione (si può non essere d'accordo?) e Avast non rilascia alcuna dichiarazione che spieghi quanto tempo li trattiene.

Cosa accade esattamente?

Utilizzando gli strumenti per sviluppatori del browser, puoi esaminare il traffico di rete di un'estensione. Se lo fai con Avast Online Security, vedrai una richiesta a https://uib.ff.avast.com/v5/urlinfo ogni volta che una nuova pagina viene caricata in una scheda:
Image
Quindi l'estensione invia alcuni dati binari e in cambio ottiene informazioni sul fatto che la pagina sia dannosa o meno. La risposta viene quindi tradotta nell'icona dell'estensione da visualizzare per la pagina. Puoi vedere chiaramente l'indirizzo completo della pagina nei dati binari, inclusa la parte della query e l'ancoraggio. Il resto dei dati è un pò più difficile da interpretare, ma lo vedremo più avanti.

Questa richiesta non viene semplicemente inviata quando si accede a una pagina, ma si verifica anche quando si cambia scheda. E c'è una richiesta aggiuntiva se ti trovi in una pagina di ricerca. Questo invierà ogni singolo link trovato in questa pagina, sia esso un risultato di ricerca o un link interno del motore di ricerca.

Quali dati vengono inviati?

La struttura binaria di dati UrlInfoRequest qui usata può essere vista nel codice sorgente dell'estensione. È piuttosto esteso, tuttavia, con un numero di campi che sono tipi nidificati. Inoltre, alcuni campi sembrano inutilizzati e lo scopo di altri non è ovvio. Infine, ci sono anche "valori personalizzati" che sono una raccolta chiave / valore completamente arbitraria. Ecco perché ho deciso di interrompere l'estensione nel debugger e dare un'occhiata ai dati prima che diventino binari. Se vuoi farlo da solo, devi trovare -this.message()- richiamato in -script/background.js- e guardare -this.request- dopo aver richiamato questo metodo.

I campi interessanti erano:
Image
E questi sono solo i campi impostati. La struttura dei dati contiene anche campi per il tuo indirizzo IP e un identificatore hardware ma nei miei test questi sono rimasti inutilizzati. Sembra anche che per i clienti Avast paganti venga trasmesso anche l'identificatore dell'account Avast.

Cosa dicono di te questi dati?

I dati raccolti qui vanno ben oltre la semplice esposizione dei siti visitati e della cronologia delle ricerche. Il tracciamento degli identificatori di schede e finestre e le tue azioni consentono ad Avast di creare una ricostruzione quasi precisa del tuo comportamento di navigazione: quante schede hai aperto, quali siti web visiti e quando, quanto tempo dedichi a leggere/guardare i contenuti , su cosa fai clic e quando passi a un'altra scheda. Tutto ciò è collegato a una serie di attributi che consentono ad Avast di riconoscerti in modo affidabile, compreso un identificatore utente univoco.

Se ora pensi "ma non sanno ancora chi sono", ripensaci. Anche supponendo che nessuno degli indirizzi dei siti Web visitati esponga direttamente la tua identità, è probabile che tu abbia un account sui social media. Numerose pubblicazioni hanno dimostrato che, data la cronologia di navigazione, nella maggior parte dei casi è possibile identificare il corrispondente account di social media. Ad esempio, questo studio del 2017 conclude:
Image
Con dati così estesi, Avast potrebbe essere in grado di identificare gli utenti con una precisione ancora maggiore.

Non è necessario che l'estensione faccia tutto questo lavoro?

No, la raccolta dei dati non è assolutamente necessaria in tal senso. Puoi vederlo guardando come funziona Navigazione sicura di Google, l'approccio attuale è sostanzialmente invariato rispetto a come è stato integrato in Firefox 2.0 nel 2006. Invece di chiedere a un server web per ogni sito Web, gli elenchi di download di Navigazione sicura vengono regolarmente aggiornati e forniti al tuo PC così che i siti Web dannosi possono essere riconosciuti localmente.
Image
Ho visto un sacco di estensioni simili da parte dei venditori di antivirus e finora tutte hanno fornito questa funzionalità chiedendo all'app antivirus. Presumibilmente, l'antivirus ha tutti i dati richiesti localmente e non ha bisogno di consultare il servizio web ogni volta. In effetti, ho potuto vedere Avast Online Security anche consultare l'applicazione antivirus per i siti Web visitati se questa applicazione è installata. È una richiesta aggiuntiva, tuttavia, la richiesta al servizio web viene disattivata a prescindere. Aggiornamento (29-10-2019): ora capisco meglio questa logica e le richieste fatte all'applicazione antivirus hanno uno scopo diverso.

Aspetta, ma Avast Antivirus non è sempre installato! E forse i requisiti di archiviazione per l'intero database superano ciò che le estensioni del browser sono autorizzate a memorizzare. In questo caso l'estensione del browser non ha altra scelta che chiedere al server Web Avast di ogni sito Web visitato. Ma anche allora, questo non è un nuovo problema. Ad esempio, circa dieci anni fa la comunità Mozilla ha discusso se le estensioni di sicurezza debbano davvero raccogliere tutti gli indirizzi dei siti Web. La decisione qui è stata: no, è sufficiente inviare semplicemente il nome host (o anche un suo hash). Se è richiesta una precisione maggiore, l'estensione potrebbe inviare l'indirizzo completo solo se viene rilevata una potenziale corrispondenza.

Che dire della politica sulla privacy?

Ma Avast ha una politica sulla privacy. Hanno sicuramente spiegato lì per cosa hanno bisogno di questi dati e come li gestiscono. Ci saranno sicuramente garanzie che non conservano nessuno di questi dati, giusto?

Diamo un'occhiata. L'informativa sulla privacy è piuttosto lunga e si applica a tutti i prodotti e siti Web Avast. Le informazioni pertinenti non arrivano fino alla metà:
Image
Sfortunatamente, dopo aver letto questo passaggio, non so ancora se conservano questi dati per me. Voglio dire, "condurre ricerche", ad esempio, è un termine molto ampio e chissà quali dati sono necessari per farlo? Ma andiamo avanti.
Image
E questo sembra essere tutto. In altre parole, Avast manterrà i tuoi dati e non si sentono come se avessero bisogno della tua approvazione per quello. Si riservano inoltre il diritto di utilizzarlo praticamente in qualsiasi modo a loro piacimento, incluso il dare a terzi senza nome per "analisi dei trend". Cioè, a condizione che i dati siano considerati anonimi. Che probabilmente è vero, dato che tecnicamente l'identificatore utente unico non è legato a te come persona. Che la tua identità possa ancora essere dedotta dai dati - beh, sfortuna per te.

Modifica (29-10-2019): ho avuto la sensazione che Avast avesse acquisito Jumpshot un mucchio di anni fa. E se dai un'occhiata al sito Web di Jumpshot, elencano "dati clickstream di 100 milioni di acquirenti online globali e 20 milioni di utenti di app globali" come loro prodotto. Quindi ora hai una buona idea di dove stanno andando i tuoi dati.

Conclusioni

Il fatto che Avast Online Security raccoglie i dati personali dei propri utenti non è una svista e non è neppure necessario per la funzionalità di estensione. L'estensione tenta di raccogliere quanti più dati di contesto possibile e lo fa apposta. L'informativa sulla privacy di Avast mostra che Avast è a conoscenza delle implicazioni sulla privacy. Tuttavia, non forniscono alcuna chiara politica di conservazione per questi dati. Sembrano piuttosto trattenere i dati per sempre, sentendo di poter fare qualsiasi cosa purché i dati siano resi anonimi. Il fatto che i dati di navigazione possano di solito essere decanonizzati non infonde comunque molta fiducia.

Questo è piuttosto ironico dato che tutti i browser moderni hanno una protezione da phishing e malware integrata che fa essenzialmente la stessa cosa ma con un impatto sulla privacy molto meno invasivo. In linea di principio, Avast Secure Browser ha anche questa funzione, essendo basata su Chromium. Tuttavia, tutti i servizi Google sono stati disabilitati e rimossi dalla pagina delle impostazioni: il browser non ti consente di inviare dati a Google, inviando invece più dati ad Avast.

Aggiornamento (28-10-2019): in qualche modo non ho trovato articoli esistenti sull'argomento quando ho cercato inizialmente. Questo articolo cita lo stesso problema di passaggio, è stato già pubblicato a gennaio 2015. Lo screenshot mostra praticamente la stessa richiesta, semplicemente con meno dati.
FONTE:  PALANT.DE

Stampa   Email

Dallo stesso autore

Articoli correlati