Avast Online Security and Avast Secure Browser are spying on you

petr0vic

Avast Online Security and Avast Secure Browser are spying on you
https://palant.de/2019/10/28/ava ... -are-spying-on-you/

小Q机器人

Avast Online Security和Avast Secure Browser正在监视您
发表于2019-10-28 07:47由 Wladimir Palant 安全性隐私avast

您是Avast防病毒产品据称的4亿用户之一吗？然后，我对您有个坏消息：您可能会受到监视。罪魁祸首是Avast Online Security扩展，这些产品敦促您将其安装在浏览器中以提供最大程度的保护。

但是，即使您自己没有安装Avast Online Security，也并不意味着您不会受到影响。这不是很明显，但Avast Secure Browser默认情况下已安装Avast Online Security。它在扩展列表中是隐藏的，无法通过常规方式进行卸载，显然它的功能被视为浏览器的组成部分。Avast产品大力推广该浏览器，并且将自动在“银行模式”下使用。鉴于Avast几年前购买了AVG，因此也存在与AVG Secure Browser几乎完全相同的内置AVG Online Security扩展。

Avast在浏览网络时看着您

目录
调查结果摘要
到底是怎么回事？
正在发送什么数据？
这些数据告诉您什么？
扩展程序执行工作不是必需的吗？
那隐私政策呢？
结论
调查结果摘要
当Avast Online Security扩展处于活动状态时，它将从Avast服务器请求有关您访问的网站的信息。在此过程中，它将传输允许重构整个Web浏览历史记录和许多浏览行为的数据。发送的数据量远远超出了扩展功能所需的数据，尤其是与Google Safe Browsing等竞争解决方案进行比较时。

Avast隐私政策涵盖了此功能，并声称有必要提供服务。由于匿名（我不同意），因此存储数据被认为是没有问题的（我不同意），Avast不会发表任何声明来说明其保留了多长时间。

到底是怎么回事？
使用浏览器的开发人员工具，您可以查看扩展的网络流量。如果使用Avast Online Security进行操作，则http*s://uib.ff.avast.com/v5/urlinfo在选项卡中加载新页面时都会看到一个请求：

由Chrome的开发人员工具中的Avast Online Security执行的请求

因此，该扩展程序发送一些二进制数据，并以回传的方式获取有关该页面是否恶意的信息。然后将响应转换为要在页面上显示的扩展程序图标。您可以在二进制数据中清楚地看到页面的完整地址，包括查询部分和锚点。其余数据有些难以解释，我将尽快处理。

此请求不仅在您导航到页面时发送，每当您切换标签页时也会发生。如果您在搜索页面上，则还有其他要求。这将发送在此页面上找到的每个链接，无论是搜索结果还是搜索引擎的内部链接。

正在发送什么数据？
UrlInfoRequest在扩展源代码中可以看到这里使用的二进制数据结构。但是，它是相当广泛的，其中许多字段是嵌套类型。另外，某些字段似乎未使用，而其他字段的目的并不明显。最后，那里还有“自定义值”，它们是完全任意的键/值集合。因此，我决定在调试器中停止扩展，并在将数据转换为二进制文件之前先查看一下数据。如果您想自己执行此操作，则需要查找this.message()in scripts/background.js并在调用this.request此方法之后查看。

有趣的领域是：

领域        内容
乌里        您所在页面的完整地址。
标题        页面标题（如果有）。
推荐人        您从此处到达的页面的地址（如果有）。
windowNum
tabNum        页面加载到的窗口和标签的标识符。
initiating_user_action
windowEvent        您到达页面的精确度，例如，通过直接输入地址，使用书签或单击链接来。
参观过        您之前是否访问过此页面。
地区        您的国家/地区代码，似乎是从浏览器的语言环境中猜测出来的。对于美国英语，这将是“美国”。
用户身份        扩展程序生成的唯一用户标识符（在上面的屏幕快照中可见两次，以“ d916”开头）。由于某种原因，在安装Avast Antivirus时没有为我设置此版本。
plugin_guid        似乎是另一个唯一的用户标识符，在上面的屏幕快照中以“ ceda”开头。安装Avast Antivirus时也没有为我设置。
browserType
browserVersion        输入浏览器的类型（例如Chrome或Firefox）和版本号。
os
osVersion        您的操作系统和确切的版本号（如果安装了Avast Antivirus，扩展名才知道该版本号）。
那仅仅是设定的领域。数据结构还包含您的IP地址和硬件标识符的字段，但在我的测试中，这些字段未使用。对于付费的Avast客户，似乎也将传输Avast帐户的标识符。

这些数据告诉您什么？
此处收集的数据远远超出了仅公开您访问的站点和搜索历史的范围。跟踪选项卡和窗口标识符以及您的操作使Avast可以对您的浏览行为进行几乎精确的重建：您打开了多少个选项卡，访问了哪些网站以及何时，花了多少时间阅读/观看内容，您单击那里什么以及何时切换到另一个标签。所有这些都与许多属性相关联，从而使Avast能够可靠地识别您，甚至是唯一的用户标识符。

如果您现在认为“但他们仍然不知道我是谁” –请再考虑一遍。即使假设您访问的网站地址都没有直接暴露您的身份，您也可能拥有社交媒体帐户。许多出版物表明，在给定浏览历史的情况下，在大多数情况下都可以标识相应的社交媒体帐户。例如，这项2017年的研究得出以下结论：

在确认我们进行匿名处理的准确性的374人中，有268人（占72％）是MLE产生的最高候选人，而303人（占81％）则是前15名候选人。与我们的模拟结果一致，我们能够成功取消匿名贡献了其网络浏览历史记录的很大一部分用户的身份。

随着Avast数据的广泛性，它应该允许以更高的精度识别用户。

扩展程序执行工作不是必需的吗？
不，在这种情况下绝对不需要数据收集。您可以通过查看Google安全浏览的工作原理来了解这一点，与2006年将其集成到Firefox 2.0中相比，当前的方法基本没有变化。安全浏览不会定期询问每个网站的网络服务器，而是定期列出下载列表，可以在本地识别恶意网站。

在列表更新期间，不会传达有关您或您访问的网站的信息。[…]在阻止该站点之前，Firefox将要求仔细检查以确保自上次更新以来未从列表中删除报告的站点。该请求不包括访问站点的地址，仅包含从该地址派生的部分信息。

我已经看到了防病毒供应商提供的许多类似扩展，到目前为止，所有这些扩展都是通过询问防病毒应用程序来提供此功能的。据推测，防病毒软件在本地拥有所有必需的数据，不需要每次都查阅Web服务。实际上，如果安装了此应用程序，我可以看到Avast Online Security也可以为您访问的网站咨询防病毒应用程序。但是，这是一个附加请求，无论如何，对Web服务的请求都会消失。

请稍等，但并非始终安装Avast Antivirus！也许整个数据库的存储要求超出了允许存储的浏览器扩展。在这种情况下，浏览器扩展别无选择，只能向Avast Web服务器询问所访问的每个网站。但是即使那样，这也不是一个新问题。例如，Mozilla社区在大约十年前就安全扩展是否真的需要收集每个网站地址进行了讨论。这里的决定是：不，仅发送主机名（甚至是主机名的哈希）就足够了。如果需要更高的精度，则分机仅在检测到潜在匹配时才能发送完整地址。

那隐私政策呢？
但是Avast有隐私政策。他们肯定在那里说明了这些数据的用途以及处理方式。肯定会在那里保证他们不保留任何这些数据，对吗？

我们来看一下。隐私政策非常长，适用于所有Avast产品和网站。相关信息要等到中间出现：

我们可能会收集有关您正在使用的计算机或设备，我们在其上运行的产品和服务的信息，并根据设备的类型，所使用的操作系统，设备设置，应用程序标识符（AI），硬件标识符来收集信息。或通用唯一标识符（UUID），软件标识符，IP地址，位置数据，cookie ID和崩溃数据（通过使用我们自己的分析工具或第三方提供的通行费，例如Crashlytics或Firebase）。设备和网络数据已连接到安装GUID。

我们从所有用户收集设备和网络数据。我们仅收集和保留我们提供功能，监视产品和服务性能，进行研究，诊断和修复崩溃，检测错误以及修复安全性或运营中的漏洞所需的数据（换句话说，与您签订合同以提供服务）。

不幸的是，看完这篇文章后，我仍然不知道他们是否为我保留了这些数据。我的意思是，例如“行为研究”是一个非常宽泛的术语，谁知道他们需要什么数据呢？让我们进一步看。

我们的防病毒和Internet安全产品要求使用数据的收集才能完全起作用。我们收集的一些使用情况数据包括：

[…]

有关在何处使用我们的产品和服务的信息，包括大概的位置，邮政编码，区号，时区，URL以及与您在线访问的网站的URL有关的信息
[…]

我们使用此Clickstream数据为您提供恶意软件检测和保护。我们还使用Clickstream数据对威胁进行安全性研究。我们对Clickstream数据进行假名化和匿名化，然后将其重新用于跨产品直销，跨产品开发和第三方趋势分析。

这似乎就是全部。换句话说，Avast将保留您的数据，因此他们不需要他们的批准。他们还保留以几乎任何喜欢的方式使用它的权利，包括将其授予未命名的第三方以进行“趋势分析”。也就是说，只要数据被认为是匿名的即可。从技术上讲，唯一的用户标识与您个人无关，所以可能是这样。仍然可以从数据中推断出您的身份-好吧，这对您来说是个不幸。

结论
Avast Online Security不会收集用户的个人数据，也不是扩展功能所必需的。该扩展尝试收集尽可能多的上下文数据，并且这样做是有意的。Avast隐私策略表明，Avast意识到此处的隐私含义。但是，他们没有为该数据提供任何明确的保留策略。他们宁愿永久保留数据，感觉只要对数据进行匿名处理，他们就可以做任何事情。但是，通常可以对浏览数据进行匿名处理这一事实并不能给人们带来很大的信心。

考虑到所有现代浏览器都内置了网络钓鱼和恶意软件防护功能，这些功能本质上是相同的，但对隐私的影响要小得多，这具有讽刺意味。原则上，Avast Secure Browser也具有此功能，它基于Chromium。但是，所有Google服务均已被禁用，并已从设置页面中删除-浏览器不允许您向Google发送任何数据，而是向Avast发送更多数据。

←PfP：无痛密码安全审查