那仅仅是设定的领域。数据结构还包含IP地址和硬件标识符的字段,但在我的测试中,这些字段一直未使用。对于付费的Avast客户,似乎也将传输Avast账户的标识符。
这些数据能泄露什么?
此处收集的数据远远超出了仅公开您访问的站点和搜索历史的范围。跟踪选项卡和窗口标识符以及您的操作使Avast可以对您的浏览行为进行几乎精确的重建:您打开了多少个选项卡,访问了哪些网站以及何时,花了多少时间阅读/观看内容,您单击那里什么以及何时切换到另一个标签。所有这些都与许多属性相关联,从而使Avast能够可靠地识别您,甚至是唯一的用户标识符。
如果您现在认为“但他们仍然不知道我是谁” –请再考虑一遍。即使假设您访问的网站地址都没有直接暴露您的身份,您也可能拥有社交媒体帐户。有许多出版物表明,在给定浏览历史的情况下,在大多数情况下可以识别相应的社交媒体帐户。例如,这项2017年的研究得出以下结论:
在确认我们进行匿名处理的准确性的374人中,有268人(占72%)是MLE产生的最高候选人,而303人(占81%)则是前15名候选人。与我们的模拟结果一致,我们能够成功取消匿名贡献了他们的Web浏览历史记录的很大一部分用户。
随着Avast数据范围的扩大,它应该允许以更高的精度识别用户。
扩展程序执行工作不是必需的吗?
不,在这种情况下绝对不需要数据收集。您可以通过查看Google安全浏览的工作方式来了解这一点,与2006年将其集成到Firefox 2.0中相比,当前的方法基本上没有变化。安全浏览不会定期向每个网站询问网络服务器,而是定期列出下载列表,可以在本地识别恶意网站。
在列表更新期间,不会传达有关您或您访问的网站的信息。[…]在阻止该网站之前,Firefox将要求仔细检查以确保自上次更新以来未将报告的网站从列表中删除。该请求不包括访问站点的地址,仅包含从该地址派生的部分信息。
我们已经看到了防病毒供应商提供的许多类似扩展,到目前为止,所有这些扩展都是通过询问防病毒应用程序来提供此功能的。据推测,防病毒软件在本地拥有所有必需的数据,不需要每次都查阅Web服务。实际上,如果安装了该应用程序,我可以看到Avast Online Security也可以为您访问的网站咨询防病毒应用程序。但是,这是一个附加请求,无论如何,对Web服务的请求都会消失。更新(2019-10-29):我现在对这种逻辑有了更好的了解,并且对防病毒应用程序的请求具有不同的用途。
请稍等,但并非始终安装Avast Antivirus!也许整个数据库的存储要求超出了允许存储的浏览器扩展。在这种情况下,浏览器扩展别无选择,只能向Avast Web服务器询问所访问的每个网站。但是即使那样,这也不是一个新问题。例如,Mozilla社区大约在十年前就是否真的需要安全扩展来收集每个网站地址进行了讨论。这里的决定是:不,仅发送主机名(甚至是主机名的哈希)就足够了。如果需要更高的精度,则分机仅在检测到潜在匹配时才能发送完整地址。
那隐私政策呢?
但是Avast有隐私政策。他们肯定在那里说明了这些数据的用途以及处理方式。肯定会在那里保证他们不保留任何这些数据,对吗?
我们来看一下。隐私政策非常长,适用于所有Avast产品和网站。相关信息要等到中间出现:
我们可能会收集有关您正在使用的计算机或设备,我们在其上运行的产品和服务的信息,并根据设备的类型,所使用的操作系统,设备设置,应用程序标识符(AI),硬件标识符来收集信息。或通用唯一标识符(UUID),软件标识符,IP地址,位置数据,cookie ID和崩溃数据(通过使用我们自己的分析工具或第三方提供的通行费,例如Crashlytics或Firebase)。设备和网络数据已连接到安装GUID。
我们从所有用户收集设备和网络数据。我们仅收集和保留我们提供功能,监视产品和服务性能,进行研究,诊断和修复崩溃,检测错误以及修复安全性或操作中的漏洞所需的数据(换句话说,与您签订合同以提供服务)。
不幸的是,看完这篇文章后,我仍然不知道他们是否为我保留了这些数据。我的意思是,例如“行为研究”是一个非常宽泛的术语,谁知道他们需要什么数据呢?让我们进一步看。
我们的防病毒和Internet安全产品要求使用数据的收集才能完全起作用。我们收集的一些使用情况数据包括:
有关在何处使用我们的产品和服务的信息,包括大概的位置,邮政编码,区号,时区,URL以及与您在线访问的网站的URL有关的信息
我们使用此Clickstream数据为您提供恶意软件检测和保护。我们还使用Clickstream数据对威胁进行安全性研究。我们对Clickstream数据进行假名化和匿名化,然后将其重新用于跨产品直销,跨产品开发和第三方趋势分析。
这似乎就是全部。换句话说,Avast将保留您的数据,因此他们不需要他们的批准。他们还保留以几乎任何喜欢的方式使用它的权利,包括将其授予未命名的第三方以进行“趋势分析”。也就是说,只要数据被认为是匿名的即可。从技术上讲,唯一的用户标识与您个人无关,所以可能是这样。仍然可以从数据中推断出您的身份-好吧,这对您来说是个不幸。
编辑(2019-10-29):我得到了暗示,Avast几年前就收购了Jumpshot。而且,如果您查看Jumpshot网站,他们会将“来自1亿全球在线购物者和2000万全球应用程序用户的点击流数据”列为产品。因此,您现在可以很好地猜测数据的去向。
结论
Avast Online Security不会收集用户的个人数据,也不是扩展功能所必需的。该扩展尝试收集尽可能多的上下文数据,并且这样做是有意的。Avast隐私策略表明,Avast意识到此处的隐私含义。但是,他们没有为该数据提供任何明确的保留策略。他们宁愿永久保留数据,感觉只要对数据进行匿名处理,他们就可以做任何事情。但是,通常可以对浏览数据进行匿名处理这一事实并不能给人们带来很大的信心。
考虑到所有现代浏览器都内置了网络钓鱼和恶意软件防护功能,这些功能本质上是相同的,但对隐私的影响要小得多,因此这具有讽刺意味。原则上,Avast Secure Browser也具有此功能,它基于Chromium。但是,所有Google服务均已被禁用,并已从设置页面中删除-浏览器不允许您向Google发送任何数据,而是向Avast发送更多数据。
更新(2019-10-28):最初搜索时,由于某种原因,我没有找到关于该主题的现有文章。本文顺便提及了同一问题,该问题已于2015年1月发布。那里的屏幕截图显示了几乎相同的请求,只是数据较少。
事件波及影响
Mozilla在收到可靠的报告说该扩展正在收集用户数据和浏览历史记录后,今天删除了Avast及其子公司AVG制作的四个Firefox扩展。
这四个扩展分别是Avast Online Security,AVG Online Security,Avast SafePrice和AVG SafePrice。
前两个是在导航到已知的恶意或可疑站点时显示警告的扩展,而后两个是在线购物者的扩展,显示价格比较,交易和可用优惠券。
扩展在10月被窥探
Mozilla收到AdBlock Plus广告拦截扩展程序的创建者Wladimir Palant的报告后,从其附加组件门户中删除了这四个扩展程序。
Palant在10月下旬分析了Avast Online Security和AVG Online Security扩展,发现二者收集的数据量远远超过了工作所需的数据-包括详细的用户浏览历史记录,Mozilla和Google均禁止这种做法。
他在10月28日发表了一篇博客文章,详细介绍了他的发现,但是在今天的一篇博客文章中,他说他还在Avast和AVG SafePrice扩展中也发现了相同的行为。
Palant看到他的原始博客文章没有得到他希望的吸引力,并且两家浏览器制造商都没有进行干预以自行删除这些扩展,因此他昨日向Mozilla开发者报告了这些扩展,希望该组织采取行动-它确实在24小时内删除了所有四个加载项。
Avast告诉外媒,他们正在与Mozilla合作以“解决问题”。
“ Avast在线安全扩展是一种安全工具,可保护用户在线,包括受到感染的网站和网络钓鱼攻击,” Avast发言人告诉ZDNet。“这项服务有必要收集URL历史记录以提供其预期功能。Avast无需收集或存储用户的标识就可以做到这一点。
Avast发言人说:“我们已经实现了Mozilla的一些新要求,并将根据新要求发布完全兼容且透明的进一步更新版本。” “这些将在不久的将来在Mozilla商店中照常提供。”
CHROME网上应用店中仍然可以使用扩展程序
这四个插件仍然可用在Chrome网上商店[ 1,2,3,4 ],根据Palant。
他说:“在这里报告延期的唯一官方方法是'报告滥用'链接。” “我当然使用了那个,但是以前的经验表明它永远不会起作用。
他补充说:“扩展程序只有在大量新闻报道后才从Chrome网上应用店中删除。”
但是,由于该浏览器制造商历来严厉打击收集用户浏览记录的扩展程序,因此预计Google将删除这四个扩展程序。
例如,在2018年7月,Google工作人员暂时删除了Fashion扩展程序,直到删除了获取用户网络浏览历史记录的代码。
文章中Avast评论已更新。
参考:
https://palant.de/2019/10/28/avast-online-security-and-avast-secure-browser-are-spying-on-you/
https://www.zdnet.com/article/mozilla-removes-avast-and-avg-extensions-from-add-on-portal-over-snooping-claims/
[复制链接]
发表于 2019-12-9 20:26:49
