Avast和AVG線上安全擴充套件外掛正在監視您

紅數位發表於2019-12-05



您是Avast防病毒產品據稱的4億使用者之一嗎?然後,我們告訴您一個壞訊息:您可能會受到監視。罪魁禍首是Avast Online Security擴充套件,這些產品敦促您將其安裝在瀏覽器中以提供最大程度的保護。


Avast和AVG線上安全擴充套件外掛正在監視您


但是,即使您自己沒有安裝Avast Online Security,也並不意味著您不會受到影響。這不是很明顯,但Avast Secure Browser預設情況下已安裝Avast Online Security。它在擴充套件列表中是隱藏的,無法通過常規方式進行解除安裝,顯然它的功能被視為瀏覽器的組成部分。Avast產品大力推廣該瀏覽器,並且將自動在“銀行模式”下使用。鑑於Avast幾年前購買了AVG,因此也存在與AVG Secure Browser幾乎完全相同的內建AVG Online Security擴充套件。


調查結果摘要

當啟用Avast Online Security擴充套件時,它將從Avast伺服器請求有關您訪問的網站的資訊。在此過程中,它將傳輸允許重構整個Web瀏覽歷史記錄和許多瀏覽行為的資料。傳送的資料量遠遠超出了擴充套件功能所需的資料,尤其是與其他競爭解決方案(例如Google安全瀏覽)進行比較時。


Avast隱私政策涵蓋了此功能,並聲稱有必要提供服務。由於匿名(使用者不同意),因此儲存資料被認為是沒有問題的(Avast不作任何宣告僅說明其保留了多長時間)。


到底是怎麼回事?

使用瀏覽器的開發人員工具,您可以檢視擴充套件的網路流量。如果使用Avast Online Security進行操作,則https://uib.ff.avast.com/v5/urlinfo在選項卡中載入新頁面時都會看到一個請求:


Avast和AVG線上安全擴充套件外掛正在監視您

由Chrome的開發人員工具中的Avast Online Security執行的請求


因此,該擴充套件程式傳送一些二進位制資料,並以回傳的方式獲取有關該頁面是否惡意的資訊。然後將響應轉換為要在頁面上顯示的擴充套件程式圖示。您可以在二進位制資料中清楚地看到頁面的完整地址,包括查詢部分和錨點。其餘資料有些難以解釋,我將盡快處理。


此請求不僅在您導航到頁面時傳送,每當您切換標籤頁時也會發生。如果您在搜尋頁面上,則還有其他要求。這將傳送在此頁面上找到的每個連結,無論是搜尋結果還是搜尋引擎的內部連結。


正在傳送什麼資料?

UrlInfoRequest在擴充套件原始碼中可以看到這裡使用的二進位制資料結構。但是,它是相當廣泛的,其中許多欄位是巢狀型別。另外,某些欄位似乎未使用,而其他欄位的目的並不明顯。最後,那裡還有“自定義值”,它們是完全任意的鍵/值集合。因此,我決定在偵錯程式中停止擴充套件,並在將資料轉換為二進位制檔案之前先檢視一下資料。如果您想自己執行此操作,則需要查詢this.message()in scripts/background.js並在呼叫this.request此方法之後檢視。


Avast和AVG線上安全擴充套件外掛正在監視您


那僅僅是設定的領域。資料結構還包含IP地址和硬體識別符號的欄位,但在我的測試中,這些欄位一直未使用。對於付費的Avast客戶,似乎也將傳輸Avast賬戶的識別符號。


這些資料能洩露什麼?

此處收集的資料遠遠超出了僅公開您訪問的站點和搜尋歷史的範圍。跟蹤選項卡和視窗識別符號以及您的操作使Avast可以對您的瀏覽行為進行幾乎精確的重建:您開啟了多少個選項卡,訪問了哪些網站以及何時,花了多少時間閱讀/觀看內容,您單擊那裡什麼以及何時切換到另一個標籤。所有這些都與許多屬性相關聯,從而使Avast能夠可靠地識別您,甚至是唯一的使用者識別符號。


如果您現在認為“但他們仍然不知道我是誰” –請再考慮一遍。即使假設您訪問的網站地址都沒有直接暴露您的身份,您也可能擁有社交媒體帳戶。有許多出版物表明,在給定瀏覽歷史的情況下,在大多數情況下可以識別相應的社交媒體帳戶。例如,這項2017年的研究得出以下結論:


在確認我們進行匿名處理的準確性的374人中,有268人(佔72%)是MLE產生的最高候選人,而303人(佔81%)則是前15名候選人。與我們的模擬結果一致,我們能夠成功取消匿名貢獻了他們的Web瀏覽歷史記錄的很大一部分使用者。


隨著Avast資料範圍的擴大,它應該允許以更高的精度識別使用者。


擴充套件程式執行工作不是必需的嗎?

不,在這種情況下絕對不需要資料收集。您可以通過檢視Google安全瀏覽的工作方式來了解這一點,與2006年將其整合到Firefox 2.0中相比,當前的方法基本上沒有變化。安全瀏覽不會定期向每個網站詢問網路伺服器,而是定期列出下載列表,可以在本地識別惡意網站。


在列表更新期間,不會傳達有關您或您訪問的網站的資訊。[…]在阻止該網站之前,Firefox將要求仔細檢查以確保自上次更新以來未將報告的網站從列表中刪除。該請求不包括訪問站點的地址,僅包含從該地址派生的部分資訊。


我們已經看到了防病毒供應商提供的許多類似擴充套件,到目前為止,所有這些擴充套件都是通過詢問防病毒應用程式來提供此功能的。據推測,防病毒軟體在本地擁有所有必需的資料,不需要每次都查閱Web服務。實際上,如果安裝了該應用程式,我可以看到Avast Online Security也可以為您訪問的網站諮詢防病毒應用程式。但是,這是一個附加請求,無論如何,對Web服務的請求都會消失。更新(2019-10-29):我現在對這種邏輯有了更好的瞭解,並且對防病毒應用程式的請求具有不同的用途。


請稍等,但並非始終安裝Avast Antivirus!也許整個資料庫的儲存要求超出了允許儲存的瀏覽器擴充套件。在這種情況下,瀏覽器擴充套件別無選擇,只能向Avast Web伺服器詢問所訪問的每個網站。但是即使那樣,這也不是一個新問題。例如,Mozilla社群大約在十年前就是否真的需要安全擴充套件來收集每個網站地址進行了討論。這裡的決定是:不,僅傳送主機名(甚至是主機名的雜湊)就足夠了。如果需要更高的精度,則分機僅在檢測到潛在匹配時才能傳送完整地址。


那隱私政策呢?

但是Avast有隱私政策。他們肯定在那裡說明了這些資料的用途以及處理方式。肯定會在那裡保證他們不保留任何這些資料,對嗎?


我們來看一下。隱私政策非常長,適用於所有Avast產品和網站。相關資訊要等到中間出現:


我們可能會收集有關您正在使用的計算機或裝置,我們在其上執行的產品和服務的資訊,並根據裝置的型別,所使用的作業系統,裝置設定,應用程式識別符號(AI),硬體識別符號來收集資訊。或通用唯一識別符號(UUID),軟體識別符號,IP地址,位置資料,cookie ID和崩潰資料(通過使用我們自己的分析工具或第三方提供的通行費,例如Crashlytics或Firebase)。裝置和網路資料已連線到安裝GUID。


我們從所有使用者收集裝置和網路資料。我們僅收集和保留我們提供功能,監視產品和服務效能,進行研究,診斷和修復崩潰,檢測錯誤以及修復安全性或操作中的漏洞所需的資料(換句話說,與您簽訂合同以提供服務)。


不幸的是,看完這篇文章後,我仍然不知道他們是否為我保留了這些資料。我的意思是,例如“行為研究”是一個非常寬泛的術語,誰知道他們需要什麼資料呢?讓我們進一步看。


我們的防病毒和Internet安全產品要求使用資料的收集才能完全起作用。我們收集的一些使用情況資料包括:


有關在何處使用我們的產品和服務的資訊,包括大概的位置,郵政編碼,區號,時區,URL以及與您線上訪問的網站的URL有關的資訊


我們使用此Clickstream資料為您提供惡意軟體檢測和保護。我們還使用Clickstream資料對威脅進行安全性研究。我們對Clickstream資料進行假名化和匿名化,然後將其重新用於跨產品直銷,跨產品開發和第三方趨勢分析。


這似乎就是全部。換句話說,Avast將保留您的資料,因此他們不需要他們的批准。他們還保留以幾乎任何喜歡的方式使用它的權利,包括將其授予未命名的第三方以進行“趨勢分析”。也就是說,只要資料被認為是匿名的即可。從技術上講,唯一的使用者標識與您個人無關,所以可能是這樣。仍然可以從資料中推斷出您的身份-好吧,這對您來說是個不幸。


編輯(2019-10-29):我得到了暗示,Avast幾年前就收購了Jumpshot。而且,如果您檢視Jumpshot網站,他們會將“來自1億全球線上購物者和2000萬全球應用程式使用者的點選流資料”列為產品。因此,您現在可以很好地猜測資料的去向。


結論

Avast Online Security不會收集使用者的個人資料,也不是擴充套件功能所必需的。該擴充套件嘗試收集儘可能多的上下文資料,並且這樣做是有意的。Avast隱私策略表明,Avast意識到此處的隱私含義。但是,他們沒有為該資料提供任何明確的保留策略。他們寧願永久保留資料,感覺只要對資料進行匿名處理,他們就可以做任何事情。但是,通常可以對瀏覽資料進行匿名處理這一事實並不能給人們帶來很大的信心。


考慮到所有現代瀏覽器都內建了網路釣魚和惡意軟體防護功能,這些功能本質上是相同的,但對隱私的影響要小得多,因此這具有諷刺意味。原則上,Avast Secure Browser也具有此功能,它基於Chromium。但是,所有Google服務均已被禁用,並已從設定頁面中刪除-瀏覽器不允許您向Google傳送任何資料,而是向Avast傳送更多資料。


更新(2019-10-28):最初搜尋時,由於某種原因,我沒有找到關於該主題的現有文章。本文順便提及了同一問題,該問題已於2015年1月釋出。那裡的螢幕截圖顯示了幾乎相同的請求,只是資料較少。


事件波及影響

Mozilla在收到可靠的報告說該擴充套件正在收集使用者資料和瀏覽歷史記錄後,今天刪除了Avast及其子公司AVG製作的四個Firefox擴充套件。


這四個擴充套件分別是Avast Online Security,AVG Online Security,Avast SafePrice和AVG SafePrice。


Avast和AVG線上安全擴充套件外掛正在監視您


前兩個是在導航到已知的惡意或可疑站點時顯示警告的擴充套件,而後兩個是線上購物者的擴充套件,顯示價格比較,交易和可用優惠券。


擴充套件在10月被窺探

Mozilla收到AdBlock Plus廣告攔截擴充套件程式的建立者Wladimir Palant的報告後,從其附加元件門戶中刪除了這四個擴充套件程式。


Palant在10月下旬分析了Avast Online Security和AVG Online Security擴充套件,發現二者收集的資料量遠遠超過了工作所需的資料-包括詳細的使用者瀏覽歷史記錄,Mozilla和Google均禁止這種做法。


他在10月28日發表了一篇部落格文章,詳細介紹了他的發現,但是在今天的一篇部落格文章中,他說他還在Avast和AVG SafePrice擴充套件中也發現了相同的行為。


Palant看到他的原始部落格文章沒有得到他希望的吸引力,並且兩家瀏覽器製造商都沒有進行干預以自行刪除這些擴充套件,因此他昨日向Mozilla開發者報告了這些擴充套件,希望該組織採取行動-它確實在24小時內刪除了所有四個載入項。


Avast告訴外媒,他們正在與Mozilla合作以“解決問題”。


“ Avast線上安全擴充套件是一種安全工具,可保護使用者線上,包括受到感染的網站和網路釣魚攻擊,” Avast發言人告訴ZDNet。“這項服務有必要收集URL歷史記錄以提供其預期功能。Avast無需收集或儲存使用者的標識就可以做到這一點。


Avast發言人說:“我們已經實現了Mozilla的一些新要求,並將根據新要求釋出完全相容且透明的進一步更新版本。” “這些將在不久的將來在Mozilla商店中照常提供。”


CHROME網上應用店中仍然可以使用擴充套件程式

這四個外掛仍然可用在Chrome網上商店[ 1,2,3,4 ],根據Palant。


他說:“在這裡報告延期的唯一官方方法是'報告濫用'連結。” “我當然使用了那個,但是以前的經驗表明它永遠不會起作用。


他補充說:“擴充套件程式只有在大量新聞報導後才從Chrome網上應用店中刪除。”


但是,由於該瀏覽器製造商歷來嚴厲打擊收集使用者瀏覽記錄的擴充套件程式,因此預計Google將刪除這四個擴充套件程式。


例如,在2018年7月,Google工作人員暫時刪除了Fashion擴充套件程式,直到刪除了獲取使用者網路瀏覽歷史記錄的程式碼。


文章中Avast評論已更新。


參考:

https://palant.de/2019/10/28/avast-online-security-and-avast-secure-browser-are-spying-on-you/

https://www.zdnet.com/article/mozilla-removes-avast-and-avg-extensions-from-add-on-portal-over-snooping-claims/


Avast和AVG線上安全擴充套件外掛正在監視您

關注紅數位 閱讀更多

Avast和AVG線上安全擴充套件外掛正在監視您

混跡安全圈,每日必看!


相關文章