您是Avast防病毒产品据称的4亿用户之一吗?然后,我们告诉您一个坏消息:您可能会受到监视。罪魁祸首是Avast Online Security扩展,这些产品敦促您将其安装在浏览器中以提供最大程度的保护。
但是,即使您自己没有安装Avast Online Security,也并不意味着您不会受到影响。这不是很明显,但Avast Secure Browser默认情况下已安装Avast Online Security。它在扩展列表中是隐藏的,无法通过常规方式进行卸载,显然它的功能被视为浏览器的组成部分。Avast产品大力推广该浏览器,并且将自动在“银行模式”下使用。鉴于Avast几年前购买了AVG,因此也存在与AVG Secure Browser几乎完全相同的内置AVG Online Security扩展。
调查结果摘要
当激活Avast Online Security扩展时,它将从Avast服务器请求有关您访问的网站的信息。在此过程中,它将传输允许重构整个Web浏览历史记录和许多浏览行为的数据。发送的数据量远远超出了扩展功能所需的数据,尤其是与其他竞争解决方案(例如Google安全浏览)进行比较时。
Avast隐私政策涵盖了此功能,并声称有必要提供服务。由于匿名(用户不同意),因此存储数据被认为是没有问题的(Avast不作任何声明仅说明其保留了多长时间)。
到底是怎么回事?
使用浏览器的开发人员工具,您可以查看扩展的网络流量。如果使用Avast Online Security进行操作,则https://uib.ff.avast.com/v5/urlinfo在选项卡中加载新页面时都会看到一个请求:
由Chrome的开发人员工具中的Avast Online Security执行的请求
因此,该扩展程序发送一些二进制数据,并以回传的方式获取有关该页面是否恶意的信息。然后将响应转换为要在页面上显示的扩展程序图标。您可以在二进制数据中清楚地看到页面的完整地址,包括查询部分和锚点。其余数据有些难以解释,我将尽快处理。
此请求不仅在您导航到页面时发送,每当您切换标签页时也会发生。如果您在搜索页面上,则还有其他要求。这将发送在此页面上找到的每个链接,无论是搜索结果还是搜索引擎的内部链接。
正在发送什么数据?
UrlInfoRequest在扩展源代码中可以看到这里使用的二进制数据结构。但是,它是相当广泛的,其中许多字段是嵌套类型。另外,某些字段似乎未使用,而其他字段的目的并不明显。最后,那里还有“自定义值”,它们是完全任意的键/值集合。因此,我决定在调试器中停止扩展,并在将数据转换为二进制文件之前先查看一下数据。如果您想自己执行此操作,则需要查找this.message()in scripts/background.js并在调用this.request此方法之后查看。
有趣的领域是:
统一资源标识符
启动用户操作窗口事件
| 领域 | 内容 |
|---|---|
| 您所在页面的完整地址。 | |
| 标题 | 页面标题(如果有)。 |
| 推荐人 | 您从此处到达的页面的地址(如果有)。 |
| 窗口编号选项卡编号 | 页面加载到的窗口和标签的标识符。 |
| 您到达页面的精确度,例如,通过直接输入地址,使用书签或单击链接来。 | |
| 访问过 | 您之前是否访问过此页面。 |
| 地区 | 您的国家/地区代码,似乎是从浏览器的语言环境中猜测出来的。对于美国英语,这将是“美国”。 |
| 用户身份 | 扩展程序生成的唯一用户标识符(在上图中的屏幕快照中可见两次,以“ d916”开头)。由于某种原因,在安装Avast Antivirus时没有为我设置此版本。 |
| 插件唯一标识符 | 似乎是另一个唯一的用户标识符,在上面的屏幕截图中以“ ceda”开头。安装Avast Antivirus时也没有为我设置。 |
| 浏览器类型和版本号 | 输入浏览器的类型(例如Chrome或Firefox)和版本号。 |
| 操作系统和版本 | 您的操作系统和确切的版本号(如果安装了Avast Antivirus,扩展名才知道该版本号)。 |
那仅仅是设定的领域。数据结构还包含IP地址和硬件标识符的字段,但在我的测试中,这些字段一直未使用。对于付费的Avast客户,似乎也将传输Avast账户的标识符。
这些数据能泄露什么?
此处收集的数据远远超出了仅公开您访问的站点和搜索历史的范围。跟踪选项卡和窗口标识符以及您的操作使Avast可以对您的浏览行为进行几乎精确的重建:您打开了多少个选项卡,访问了哪些网站以及何时,花了多少时间阅读/观看内容,您单击那里什么以及何时切换到另一个标签。所有这些都与许多属性相关联,从而使Avast能够可靠地识别您,甚至是唯一的用户标识符。
如果您现在认为“但他们仍然不知道我是谁” –请再考虑一遍。即使假设您访问的网站地址都没有直接暴露您的身份,您也可能拥有社交媒体帐户。有许多出版物表明,在给定浏览历史的情况下,在大多数情况下可以识别相应的社交媒体帐户。例如,这项2017年的研究得出以下结论:
在确认我们进行匿名处理的准确性的374人中,有268人(占72%)是MLE产生的最高候选人,而303人(占81%)则是前15名候选人。与我们的模拟结果一致,我们能够成功取消匿名贡献了他们的Web浏览历史记录的很大一部分用户。
随着Avast数据范围的扩大,它应该允许以更高的精度识别用户。
扩展程序执行工作不是必需的吗?
不,在这种情况下绝对不需要数据收集。您可以通过查看Google安全浏览的工作方式来了解这一点,与2006年将其集成到Firefox 2.0中相比,当前的方法基本上没有变化。安全浏览不会定期向每个网站询问网络服务器,而是定期列出下载列表,可以在本地识别恶意网站。
在列表更新期间,不会传达有关您或您访问的网站的信息。[…]在阻止该网站之前,Firefox将要求仔细检查以确保自上次更新以来未将报告的网站从列表中删除。该请求不包括访问站点的地址,仅包含从该地址派生的部分信息。
我们已经看到了防病毒供应商提供的许多类似扩展,到目前为止,所有这些扩展都是通过询问防病毒应用程序来提供此功能的。据推测,防病毒软件在本地拥有所有必需的数据,不需要每次都查阅Web服务。实际上,如果安装了该应用程序,我可以看到Avast Online Security也可以为您访问的网站咨询防病毒应用程序。但是,这是一个附加请求,无论如何,对Web服务的请求都会消失。更新(2019-10-29):我现在对这种逻辑有了更好的了解,并且对防病毒应用程序的请求具有不同的用途。
请稍等,但并非始终安装Avast Antivirus!也许整个数据库的存储要求超出了允许存储的浏览器扩展。在这种情况下,浏览器扩展别无选择,只能向Avast Web服务器询问所访问的每个网站。但是即使那样,这也不是一个新问题。例如,Mozilla社区大约在十年前就是否真的需要安全扩展来收集每个网站地址进行了讨论。这里的决定是:不,仅发送主机名(甚至是主机名的哈希)就足够了。如果需要更高的精度,则分机仅在检测到潜在匹配时才能发送完整地址。
那隐私政策呢?
但是Avast有隐私政策。他们肯定在那里说明了这些数据的用途以及处理方式。肯定会在那里保证他们不保留任何这些数据,对吗?
我们来看一下。隐私政策非常长,适用于所有Avast产品和网站。相关信息要等到中间出现:
我们可能会收集有关您正在使用的计算机或设备,我们在其上运行的产品和服务的信息,并根据设备的类型,所使用的操作系统,设备设置,应用程序标识符(AI),硬件标识符来收集信息。或通用唯一标识符(UUID),软件标识符,IP地址,位置数据,cookie ID和崩溃数据(通过使用我们自己的分析工具或第三方提供的通行费,例如Crashlytics或Firebase)。设备和网络数据已连接到安装GUID。
我们从所有用户收集设备和网络数据。我们仅收集和保留我们提供功能,监视产品和服务性能,进行研究,诊断和修复崩溃,检测错误以及修复安全性或操作中的漏洞所需的数据(换句话说,与您签订合同以提供服务)。
不幸的是,看完这篇文章后,我仍然不知道他们是否为我保留了这些数据。我的意思是,例如“行为研究”是一个非常宽泛的术语,谁知道他们需要什么数据呢?让我们进一步看。
我们的防病毒和Internet安全产品要求使用数据的收集才能完全起作用。我们收集的一些使用情况数据包括:
有关在何处使用我们的产品和服务的信息,包括大概的位置,邮政编码,区号,时区,URL以及与您在线访问的网站的URL有关的信息
我们使用此Clickstream数据为您提供恶意软件检测和保护。我们还使用Clickstream数据对威胁进行安全性研究。我们对Clickstream数据进行假名化和匿名化,然后将其重新用于跨产品直销,跨产品开发和第三方趋势分析。
这似乎就是全部。换句话说,Avast将保留您的数据,因此他们不需要他们的批准。他们还保留以几乎任何喜欢的方式使用它的权利,包括将其授予未命名的第三方以进行“趋势分析”。也就是说,只要数据被认为是匿名的即可。从技术上讲,唯一的用户标识与您个人无关,所以可能是这样。仍然可以从数据中推断出您的身份-好吧,这对您来说是个不幸。
编辑(2019-10-29):我得到了暗示,Avast几年前就收购了Jumpshot。而且,如果您查看Jumpshot网站,他们会将“来自1亿全球在线购物者和2000万全球应用程序用户的点击流数据”列为产品。因此,您现在可以很好地猜测数据的去向。
结论
Avast Online Security不会收集用户的个人数据,也不是扩展功能所必需的。该扩展尝试收集尽可能多的上下文数据,并且这样做是有意的。Avast隐私策略表明,Avast意识到此处的隐私含义。但是,他们没有为该数据提供任何明确的保留策略。他们宁愿永久保留数据,感觉只要对数据进行匿名处理,他们就可以做任何事情。但是,通常可以对浏览数据进行匿名处理这一事实并不能给人们带来很大的信心。
考虑到所有现代浏览器都内置了网络钓鱼和恶意软件防护功能,这些功能本质上是相同的,但对隐私的影响要小得多,因此这具有讽刺意味。原则上,Avast Secure Browser也具有此功能,它基于Chromium。但是,所有Google服务均已被禁用,并已从设置页面中删除-浏览器不允许您向Google发送任何数据,而是向Avast发送更多数据。
更新(2019-10-28):最初搜索时,由于某种原因,我没有找到关于该主题的现有文章。本文顺便提及了同一问题,该问题已于2015年1月发布。那里的屏幕截图显示了几乎相同的请求,只是数据较少。
事件波及影响
Mozilla在收到可靠的报告说该扩展正在收集用户数据和浏览历史记录后,今天删除了Avast及其子公司AVG制作的四个Firefox扩展。
这四个扩展分别是Avast Online Security,AVG Online Security,Avast SafePrice和AVG SafePrice。
前两个是在导航到已知的恶意或可疑站点时显示警告的扩展,而后两个是在线购物者的扩展,显示价格比较,交易和可用优惠券。
扩展在10月被窥探
Mozilla收到AdBlock Plus广告拦截扩展程序的创建者Wladimir Palant的报告后,从其附加组件门户中删除了这四个扩展程序。
Palant在10月下旬分析了Avast Online Security和AVG Online Security扩展,发现二者收集的数据量远远超过了工作所需的数据-包括详细的用户浏览历史记录,Mozilla和Google均禁止这种做法。
他在10月28日发表了一篇博客文章,详细介绍了他的发现,但是在今天的一篇博客文章中,他说他还在Avast和AVG SafePrice扩展中也发现了相同的行为。
Palant看到他的原始博客文章没有得到他希望的吸引力,并且两家浏览器制造商都没有进行干预以自行删除这些扩展,因此他昨日向Mozilla开发者报告了这些扩展,希望该组织采取行动-它确实在24小时内删除了所有四个加载项。
Avast告诉外媒,他们正在与Mozilla合作以“解决问题”。
“ Avast在线安全扩展是一种安全工具,可保护用户在线,包括受到感染的网站和网络钓鱼攻击,” Avast发言人告诉ZDNet。“这项服务有必要收集URL历史记录以提供其预期功能。Avast无需收集或存储用户的标识就可以做到这一点。
Avast发言人说:“我们已经实现了Mozilla的一些新要求,并将根据新要求发布完全兼容且透明的进一步更新版本。” “这些将在不久的将来在Mozilla商店中照常提供。”
CHROME网上应用店中仍然可以使用扩展程序
这四个插件仍然可用在Chrome网上商店[ 1,2,3,4 ],根据Palant。
他说:“在这里报告延期的唯一官方方法是'报告滥用'链接。” “我当然使用了那个,但是以前的经验表明它永远不会起作用。
他补充说:“扩展程序只有在大量新闻报道后才从Chrome网上应用店中删除。”
但是,由于该浏览器制造商历来严厉打击收集用户浏览记录的扩展程序,因此预计Google将删除这四个扩展程序。
例如,在2018年7月,Google工作人员暂时删除了Fashion扩展程序,直到删除了获取用户网络浏览历史记录的代码。
文章中Avast评论已更新。
参考:
https://palant.de/2019/10/28/avast-online-security-and-avast-secure-browser-are-spying-on-you/
https://www.zdnet.com/article/mozilla-removes-avast-and-avg-extensions-from-add-on-portal-over-snooping-claims/
点击图片阅读更多
混迹安全圈,每日必看!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
