Appena un mese fa Firefox rimuoveva dal portale degli add-on le estensioni di Avast Online Security, AVG Online Security, Avast SafePrice e AVG SafePrice dopo che il report del ricercatore Vladimir Palant (creatore di AdBlock Plus) aveva scoperto come queste raccogliessero molti più dati sugli utenti di quanti ne servissero realmente per funzionare. Tali estensioni mostravano lo stesso comportamento su Chrome, in aperta violazione delle policy privacy anche del browser targato Google: anche in questo caso Google, pur in ritardo rispetto a Mozilla, aveva proceduto alla rimozione delle app incriminate dal Google Store.
Il report è disponibile qui >> Avast Online Security and Avast Secure Browser are spying on you.
Nonostante il precedente, un nuovo report rivela che dalle parti di Avast non hanno imparato nulla dalla lezione: al contrario, si è registrata una netta accelerazione nella raccolta dei dati degli utenti. La notizia si deve ad una inchiesta congiunta da parte di Motherboard e PCMag, che svela come Avast esegua una minuziosa e dettagliatissima raccolta di tutte le attività che gli utenti compiono online tramite i suoi software e servizi antivirus gratuiti, per poi rivendere questi dati, tramite una sussidiaria, a terze parti. La sussidiaria in oggetto si chiama Jumpshot ed è stato proprio mettendo le mani su un documento riservato inviato dalla stessa ad un cliente che le redazioni delle due testate hanno avviato l'inchiesta.
Avast, contattata dalle redazioni, ha spiegato di aver cessato l'invio alla propria sussidiaria dei dati raccolti tramite le estensioni browser sopra citate. Tuttavia, quando si installa la prima volta un antivirus targato Avast, l'utente visualizza una richiesta di autorizzazione alla raccolta di informazioni.
Il testo dice espressamente "Se ci dai il consenso, invieremo alla nostra sussidiaria Jumpshot Inc. una serie di dati de-identificati derivati dalla tua cronologia di navigazione allo scopo di consentire a Jumpshot di analizzare i trend del mercato e altre indicazioni di valore. I dati sono del tutto de-identificati e aggregati e non possono essere usati per identificarti personalmente. Jumpshot potrebbe condividere questi dati aggregati con i suoi clienti".
Jumpshot inserisce questi dati come parte integrante della propria offerta prodotti. Ad esempio, tramite il suo "All Clicks Feed" un'azienda può avere accesso al tuo comportamento in Internet o a qualsiasi clic che puoi aver fatto su una particolare gamma di domini. Tra i dati che Avast mette a disposizione di Jumpshot ci sono le coordinate GPS di Google Maps, le pagine di Linkedin visitate dagli utenti, i video di Youtube, i contenuti dei siti web visitati e perfino le ricerche e contenuti sui siti pornografici: tutti dati accompagnati da dettagli molto precisi, perfino sul momento esatto della giornata con tanto di marca temporale.
Un esempio di record ottenuto tramite Avast è:
Un esempio di record ottenuto tramite Avast è:
Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 – 2017 Model – 256GB, Rose Gold Behavior: Add to Cart.
Tra le società che hanno accesso ai dati venduti da Jumpshot troviamo nomi del calibro di Yelp, IBM, Microsoft, Google, Unilever e TripAdvisor. Per il settore finanziario invece, Jumpshot offre un prodotto specifico: l'accesso, in termini di attività ovviamente, dei più importanti 10.000 domini del settore, per individuare tendenze e raccogliere informazioni utili per elaborare previsioni di mercato.
La giustificazione che Avast ha fornito a Motherboard e PCmag è che i dati sono completamente anonimizzati e privi delle cosidette publicly identifiable information (PII), ma sono molteplici gli studi e le indagini che, nel corso degli anni, hanno dimostrati come sia possibile de-anonimizzare un dato tramite l'ingegneria inversa. Un esempio: nel 2006 il New York Times identificò una persona alla quale era stato assegnato un numero di ricerca casuale tra 20 milioni di record di ricerca che AOL aveva rilasciato al pubblico. Il caso si applica alla raccolta dati di Avast:
"Uno dei dataset appartenenti a Jumpshot ottenuto da Motherboard e PCMag mostra un timestamp precisissimo, fino al millisecondo, su ogni URL visitato. Una azienda potrebbe semplicemente consultare la banca dati dei propri clienti per individuare l'utente che ha visitato quel sito, quindi seguirlo attraverso altri siti nei dati Jumpshot." ha commentato Joseph Cox di Vice.
Che cosa dicono gli utenti di Avast?
Avast ha spiegato che sta implementando una procedura di "esplicito opt-out" così da consentire agli utenti di sospendere la condivisione dei dati con Jumpshot.
"Gli utenti hanno sempre la possibilità di non condividere le informazioni con Jumpshot. Da luglio 2019 abbiamo già iniziato ad implementare una scelta di opt-in per tutti i nuovi download dei nostri antivirus, e stiamo ora chiedendo ai nostri esistenti utenti gratuiti di fare una scelta esplicita, un processo che sarà completato a febbraio 2020" ha dichiarato Avast.
E va anche detto che un utente può, effettivamente negare il consenso o rimandare la decisione ad un momento successivo. Gli utenti di Avast contattati da Motherboard e PCMag nell'ambito della inchiesta congiunta hanno tutti però confermato di non essere a conoscenza delle modalità né delle tipologie di dati raccolti, sollevando seri dubbi su quanto un eventuale consenso prestato fosse realmente informato.
Nessun commento:
Posta un commento