Вы один из предположительно 400 миллионов пользователей антивирусных продуктов Avast? Тогда у меня для вас плохие новости: за вами, вероятно, следят. Виновником является расширение Avast Online Security, которое эти продукты призывают вас установить в вашем браузере для максимальной защиты.

Но даже если вы не устанавливали Avast Online Security самостоятельно, это не означает, что вы не затронуты. Это не очевидно, но Avast Secure Browser имеет Avast Online Security, установленную по умолчанию. Он скрыт из списка расширений и не может быть удален обычными средствами, его функциональность, по-видимому, считается неотъемлемой частью браузера. Продукты Avast активно продвигают этот браузер, и он также будет использоваться автоматически в “банковском режиме."Учитывая, что Avast купил AVG несколько лет назад, есть также в основном идентичный безопасный браузер AVG со встроенным расширением AVG Online Security.

Резюме выводов
Когда модуль Avast Online Security extension активен, он запрашивает информацию о посещенных вами веб-сайтах с сервера Avast server. В этом процессе он будет передавать данные, которые позволяют восстановить всю историю просмотра веб-страниц и большую часть вашего поведения в интернете. Объем отправляемых данных выходит далеко за рамки того, что необходимо для функционирования расширения, особенно если вы сравниваете его с конкурирующими решениями, такими как Безопасный просмотр Google.

Политика конфиденциальности Avast охватывает эту функциональность и утверждает, что она необходима для предоставления услуги. Хранение данных считается непроблематичным из-за анонимизации (я не согласен), и Avast не делает никаких заявлений, объясняющих, как долго он держит его.

Что же именно происходит?
С помощью инструментов разработчика браузера вы можете посмотреть на сетевой трафик расширения. Если вы делаете это с Avast Online Security, вы будете видеть запрос на https://uib.ff.avast.com/v5/urlinfoкаждый раз, когда новая страница загружается во вкладке:

Запрос выполнен Avast Online Security в инструментах разработчика Chrome

Таким образом, расширение отправляет некоторые двоичные данные и взамен получает информацию о том, является ли страница вредоносной или нет. Затем ответ переводится в значок расширения, который будет отображаться для страницы. Вы можете четко видеть полный адрес страницы в двоичных данных, включая часть запроса и якорь. Остальные данные несколько сложнее интерпретировать, я скоро к ним подойду.

Этот запрос не просто отправляется при переходе на страницу, он также появляется при переключении вкладок. И есть дополнительный запрос, если вы находитесь на странице поиска. Это один будет отправлять каждую ссылку, найденную на этой странице, будь то результат поиска или внутренняя ссылка поисковой системы.

Какие данные будут отправлены?
Двоичная структура UrlInfoRequestданных, используемая здесь, может быть видна в исходном коде расширения. Он довольно обширен, однако, с рядом полей, являющихся вложенными типами. Кроме того, некоторые поля кажутся неиспользуемыми, а назначение других не очевидно. Наконец, там также есть "пользовательские значения", которые являются полностью произвольной коллекцией ключей/значений. Вот почему я решил остановить расширение в отладчике и посмотреть на данные, прежде чем они превратятся в двоичные. Если вы хотите сделать это самостоятельно, вам нужно найти this.message()вызов scripts/background.jsи посмотреть this.requestпосле того, как этот метод вызван.

Самые интересные поля были:

Поле Содержание
Урл Полный адрес страницы, на которой вы находитесь.
Название Заголовок страницы, если он доступен.
реферер Адрес страницы, с которой вы попали сюда, если таковой имеется.
windowNum
tabNum Идентификатор окна и вкладки, в которые загружается страница.
initiating_user_action
windowEvent Как именно вы попали на страницу, например, введя адрес напрямую, используя закладку или нажав ссылку.
посетил Если вы посещали эту страницу раньше.
место действия Ваш код страны, который, кажется, угадывается из локали браузера. Это будет “мы " для нас англичан.
идентификатор пользователя Уникальный идентификатор пользователя, генерируемый расширением (тот, который дважды отображается на скриншоте выше, начиная с “d916"). По какой-то причине этот не был установлен для меня, когда антивирус Avast был установлен.
plugin_guid Кажется, это еще один уникальный идентификатор пользователя, тот, который начинается с “ceda " на скриншоте выше. Также не установлено для меня, когда был установлен антивирус Avast.

browserversion browserType Введите (например, Chrome или Firefox) и номер версии вашего браузера.
os
osVersion Ваша операционная система и точный номер версии (последний известен только для расширения, если установлен антивирус Avast).
И это только те поля, которые были установлены. Структура данных также содержит поля для вашего IP-адреса и идентификатора оборудования, но в моих тестах они остались неиспользуемыми. Также представляется, что для оплаты клиентам Avast также будет передаваться идентификатор учетной записи Avast.

Что эти данные говорят о вас?
Данные, собранные здесь, выходят далеко за рамки простого отображения сайтов, которые вы посещаете, и вашей истории поиска. Отслеживание идентификаторов вкладок и окон, а также ваших действий позволяет Avast создать почти точную реконструкцию вашего поведения при просмотре: сколько вкладок у вас открыто, какие веб-сайты вы посещаете и когда, сколько времени вы тратите на чтение/просмотр содержимого, что вы нажимаете там и когда вы переключаетесь на другую вкладку. Все это связано с рядом атрибутов, позволяющих Avast распознавать вас надежно, даже уникальный идентификатор пользователя.

Если вы сейчас думаете “ " но они все еще не знают, кто я” – подумайте еще раз. Даже если предположить, что ни один из адресов веб-сайта, который вы посетили, не раскрывает вашу личность напрямую, у вас, вероятно, есть учетная запись в социальных сетях. Существует ряд публикаций, показывающих, что, учитывая историю просмотра, соответствующая учетная запись в социальных сетях может быть идентифицирована в большинстве случаев. Например, это исследование 2017 года завершается:

Из 374 человек, подтвердивших правильность нашей попытки деанонимизации, 268 (72%) были лучшими кандидатами, созданными MLE, а 303 участника (81%) были среди лучших 15 кандидатов. В соответствии с нашими результатами моделирования, мы смогли успешно деанонимизировать значительную долю пользователей, которые внесли свои истории просмотра веб-страниц.

Поскольку данные Avast являются гораздо более обширными, они должны позволять идентифицировать пользователей с еще большей точностью.

Разве это не необходимо для расширения, чтобы сделать свою работу?
Нет, сбор данных определенно не нужен в этом смысле. Вы можете увидеть это, посмотрев на то, как работает Безопасный просмотр Google, текущий подход в значительной степени не изменился по сравнению с тем, как он был интегрирован в Firefox 2.0 еще в 2006 году. Вместо того, чтобы запрашивать веб-сервер для каждого веб-сайта, Безопасный просмотр загружает списки регулярно, так что вредоносные веб-сайты могут быть распознаны локально.

Никакая информация о вас или сайтах, которые вы посещаете, не сообщается во время обновления списка. [ ... ] Перед блокировкой сайта Firefox запросит повторную проверку, чтобы убедиться, что указанный сайт не был удален из списка с момента вашего последнего обновления. Этот запрос не включает адрес посещаемого сайта, он содержит только частичную информацию, полученную из адреса.

Я видел кучу подобных расширений от поставщиков антивирусов, и до сих пор все они предоставляли эту функциональность, задавая антивирусное приложение. Предположительно, антивирус имеет все необходимые данные локально и не должен каждый раз консультироваться с веб-службой. На самом деле, я мог бы увидеть Avast Online Security также проконсультироваться антивирусное приложение для веб-сайтов, которые вы посещаете, если это приложение установлено. Это дополнительный запрос, однако, запрос к веб-службе выходит независимо. Обновление (2019-10-29): теперь я лучше понимаю эту логику, и запросы, сделанные к антивирусному приложению, имеют другую цель.

Подождите, но Avast антивирус не всегда установлен! И, возможно, требования к хранению для полной базы данных превышают то, что браузерные расширения разрешено хранить. В этом случае расширение браузера не имеет никакого выбора, кроме как спросить веб-сервер Avast о каждом посещенном веб-сайте. Но даже тогда, это не новая проблема. Например, сообщество Mozilla обсуждало примерно десять лет назад вопрос о том, действительно ли расширения безопасности должны собирать каждый адрес веб-сайта. Решение здесь было: нет, достаточно просто отправить имя хоста (или даже хэш его). Если требуется более высокая точность, расширение может отправить полный адрес только в том случае, если обнаружено потенциальное соответствие.

А как насчет политики конфиденциальности?
Но у Avast есть Политика конфиденциальности . Они наверняка объяснили там, для чего им нужны эти данные и как они с ними справляются. Там наверняка будут гарантии, что они не хранят никаких этих данных, верно?

Давайте посмотрим. Политика конфиденциальности является довольно длительной и распространяется на все продукты Avast и веб-сайты. Соответствующая информация не приходит до середины его:

Мы можем собирать информацию о компьютере или устройстве, которое вы используете, наших продуктах и услугах, работающих на нем, а также, в зависимости от типа устройства, какие операционные системы вы используете, настройки устройства, идентификаторы приложений (AI), идентификаторы оборудования или универсально уникальные идентификаторы (UUID), идентификаторы программного обеспечения, IP-адрес, данные о местоположении, идентификаторы файлов cookie и данные о сбоях (с помощью наших собственных аналитических инструментов или сборов, предоставляемых третьими сторонами, такими как Crashlytics или Firebase). Данные устройства и сети подключены к GUID установки.
Мы собираем устройства и сетевые данные от всех пользователей. Мы собираем и храним только те данные, которые нам необходимы для обеспечения функциональности, мониторинга производительности продуктов и услуг, проведения исследований, диагностики и устранения сбоев, обнаружения ошибок и устранения уязвимостей в безопасности или операциях (другими словами, выполняем наш контракт с вами на предоставление услуги).
К сожалению, после прочтения этого отрывка я все еще не знаю, сохраняют ли они эти данные для меня. Я имею в виду, например,” проводить исследования " - это очень широкий термин, и кто знает, какие данные им нужны для этого? Давайте посмотрим дальше.
Наши антивирусные и интернет-продукты безопасности требуют, чтобы сбор данных об использовании был полностью функциональным. Некоторые из данных об использовании, которые мы собираем включают в себя:
информация о том, где используются наши продукты и услуги, включая приблизительное местоположение, почтовый индекс, код города, часовой пояс, URL и информацию, связанную с URL сайтов, которые вы посещаете в интернете
Мы используем эти данные Clickstream для обеспечения обнаружения и защиты от вредоносных программ. Мы также используем данные Clickstream для исследования угроз безопасности. Мы анонимизируем и анонимизируем данные Clickstream и повторно используем их для прямого маркетинга между продуктами, разработки новых продуктов и анализа тенденций третьих лиц.
И это, кажется, все. Другими словами, Avast будет хранить ваши данные, и они не чувствуют, что им нужно ваше одобрение для этого. Они также оставляют за собой право использовать его практически любым способом, включая предоставление его неназванным третьим лицам для “trend analytics.” То есть до тех пор, пока эти данные считаются анонимными. Что, вероятно, и есть, учитывая, что технически уникальный идентификатор пользователя не привязан к вам как к человеку. То, что ваша личность все еще может быть выведена из данных – ну, плохая примета для вас.
я получил подсказку, что Avast приобрел Jumpshot кучу лет назад . И если вы посмотрите на веб-сайт Jumpshot, они перечисляют “данные clickstream от 100 миллионов глобальных онлайн-покупателей и 20 миллионов глобальных пользователей приложений” в качестве своего продукта . Таким образом, теперь у вас есть довольно хорошее предположение о том, где ваши данные собираются.
Выводы
Avast Online Security сбор персональных данных своих пользователей не является надзором и не является необходимым для функциональности расширения либо. Расширение пытается собрать как можно больше контекстных данных, и оно делает это специально. Политика конфиденциальности Avast показывает, что Avast осознает последствия для конфиденциальности здесь. Однако они не предоставляют никакой четкой политики хранения для этих данных. Они скорее кажутся держащимися за данные навсегда, чувствуя, что они могут делать с ними все, что угодно, пока данные анонимизированы. Тот факт, что данные о просмотре обычно могут быть деанонимизированы, однако, не внушает особой уверенности.

Это довольно иронично, учитывая, что все современные браузеры имеют фишинговую и вредоносную защиту, встроенную в то, что делает по существу то же самое, но с гораздо меньшим влиянием на конфиденциальность. В принципе, Avast Secure Browser также имеет эту функцию, она основана на хроме. Тем не менее, все сервисы Google были отключены и удалены со страницы настроек – браузер не позволит вам отправлять какие-либо данные в Google, отправляя гораздо больше данных в Avast вместо этого.
почему-то я не нашел существующих статей по этой теме, Когда искал изначально. В этой статье мимоходом упоминается тот же вопрос, он был опубликован уже в январе 2015 года. Скриншот там показывает в значительной степени тот же запрос, просто с меньшим количеством данных.

источник https://palant.de/2019/10/28/avast-onli … ng-on-you/

от себя добавлю, я никогда не сомневался в том что аваст редкостное ...овно, но вот уж не подозревал что до такой степени))) статья переведена, перевод может быть некорректен в деталях