作者:郭仁贤
曾今的 Avast,作为全球知名的杀毒软件,可以说是欧洲的骄傲。
其不仅拥有出色的杀毒能力,还免费对用户开放,凭借比较低的硬件占用空间和在此之上的付费扩展服务赢得广大用户的一众好感。然而,现在的 Avast 已经越来越多地沦落为一家赖皮的流氓软件厂商。
据了解,数月前微软曾清理过一次系统清理软件 CCleaner,其本身不仅清理功能薄弱,安全也存在问题,而且还内置捆绑了 Avast 杀毒软件。而 CCleaner 的母公司正是 2017 年就被 Avast 收购的 Piriform,此后 CCleaner 的质量服务和安全性能一直下降,Avast 还悄悄地捆绑了自己的软件。
不仅如此,Avast 被曝旗下的多款浏览器插件都有严重侵犯用户隐私的嫌疑,比如这些插件会在用户使用时详细记录其操作的踪迹,用户曾打开了哪些网页和在网页上停留了几秒钟等。
近日,根据外媒 Vice 和 PCMag 的联合调查发现,让人更为恼怒的是,Avast 的 Mac 和 Windows 版杀毒软件一直被用于暗中挖掘用户数据,然后再把敏感信息出售给包括谷歌、微软和财务软件开发商 Intuit 等在内的第三方。
雷锋网(公众号:雷锋网)了解到,Avast 提供免费和付费的这些杀毒和安全工具,每月大约有超过 4.35 亿活跃用户在 Macs、个人电脑和移动设备上使用 Avast 的产品,保护他们的数据免受伤害。同时,Avast 的软件提供了选择加入的选项,允许公司收集某些类型的用户数据,然后通过附属公司 Jumpshot 进行销售。
“能赚钱”的数据
这些销售出的数据,对于 Avast 而言是一笔丰厚的收入。
在与 Jumpshot 客户的合同副本中,一家营销公司在 2019 年为数据访问支付了 200 多万美元,这些数据包括基于浏览行为推断的用户性别、年龄、删除个人身份信息的“整个网址字符串”,以及其他细节。
虽然设备标识被“散列”以防止客户端识别个人,但由于设备标识不会因为用户而改变,除非他们完全重新安装 Avast 工具,这可能允许随着时间的推移在一个用户上建立大量数据,从而导致可能的在线识别。
Avast 表示,“由于我们的方法,可以确保 Jumpshot 不会从使用流行的免费杀毒软件的用户那里获取个人身份信息,包括姓名、电子邮件地址或联系方式等。”
该公司在声明中继续重申,用户有能力选择不共享数据,并且从 2019 年 7 月起,该公司已开始对杀毒软件的所有新下载实施明确的选择加入,所有现有的免费用户都将在 2020 年 2 月前做出选择。在其全球用户群中,Avast 符合美国加州消费者隐私法案和欧洲《通用数据保护条例》。该公司在声明中称:
我们在保护用户设备和数据免受恶意软件攻击方面有着悠久的历史,我们理解并认真对待平衡用户隐私和必要的数据使用的责任。
从 Avast 到 Jumpshot
据外媒披露,安装在个人电脑上的 Avast 防病毒程序收集数据后,Jumpshot 将其重新打包,然后卖给谷歌、美版“大众点评网”Yelp、微软、麦肯锡、百事可乐、丝芙兰、家得宝、康德纳斯、Intuit 和许多其他公司。
一些客户花了数百万美元购买的服务,它可以非常精确地跟踪用户的行为、点击和跨网站的操作。Avast 声称,每月有超过 4.35 亿的活跃用户,而 Jumpshot 宣称有 1 亿台设备的数据。Avast 从选择加入的用户那里收集数据,然后提供给 Jumpshot,但多个 Avast 用户告诉 Vice,他们并不知道 Avast 出售了浏览数据。
据 Vice 和 PCMag 获得的信息,这些数据包括谷歌搜索、谷歌地图上位置和 GPS 坐标的查找、访问公司 LinkedIn 页面的人、特别是 YouTube 视频以及访问色情网站的人。可以从收集的数据中确定匿名用户访问 YouPorn and PornHub 的日期和时间,在某些情况下还可以确定他们在色情网站中输入了什么搜索词以及观看了哪些特定视频。
尽管这些数据不包括用户姓名等个人信息,但仍包含大量特定的浏览数据,专家表示可能会取消某些用户的姓名。
Jumpshot 在 7 月发布的一份新闻稿中称,他们致力于让营销人员对在线用户的行为有更深入的了解。Jumpshot 此前曾公开讨论过其部分客户,有提到包括 Expedia、IBM、Intuit,后者生产 TurboTax、Loreal 和 HomeDepot,公司要求员工不要公开谈论 Jumpshot 与这些公司的关系。
联合调查结果显示,直到最近收集数据都是通过 Avast 的浏览器插件进行的,该插件向用户提供关于可疑和恶意网站的警告。安全研究人员和 AdBlock Plus 创建者弗拉基米尔·帕朗特(Wladimir Palant)在去年 10 月的一份报告中披露,该插件曾在 10 月份被用来获取数据,这促使 Mozilla、Opera 和谷歌取消了对 Avast 扩展的访问。
针对这一调查,Avast 在声明中表示,该公司已停止向 Jumpshot 提供扩展收集的浏览数据。但是调查进一步从来源和泄露的文件中发现,Avast 仍在进行数据收集,但通过杀毒软件本身,而不是浏览器插件。上周,一份内部文件显示 Avast 已开始要求免费杀毒工具的用户再次选择加入数据收集。
“如果他们选择加入,该设备将成为 Jumpshot 面板的一部分,所有基于浏览器的互联网活动都将报告给 Jumpshot,”来自内部手册的一行文字建议。根据该文件,所收集的数据将回答用户访问了哪些网址,以及何时和以何种顺序访问的问题。
Why?
去年 12 月,参议员 Ron Wyden 曾提问 Avast 为什么要出售用户的浏览数据,他在一份声明中表示:
“令人鼓舞的是,Avast 在与我进行了建设性的接触后,结束了一些最麻烦的做法。不过,我担心的是,Avast 尚未承诺删除未经用户选择加入同意而收集和共享的用户数据,或终止销售敏感的互联网浏览数据。唯一负责任的做法是对未来的客户完全透明,并清除过去在可疑条件下收集的数据。”
雷锋网了解到,微软就其购买 Jumpshot 产品的具体原因拒绝置评,并表示目前与该公司没有任何关系。
家得宝发言人在电子邮件声明中表示,“我们有时会利用第三方供应商的信息来帮助改进我们的业务、产品和服务。我们要求这些供应商拥有与我们共享此信息的适当权利。在这种情况下,我们会收到匿名的受众数据,这些数据无法用于识别个人客户。”
西南航空表示,公司与 Jumpshot 进行了讨论,但没有与该公司达成协议。IBM 表示,它没有做客户的记录。
在其网站和新闻稿中,Jumpshot 将百事可乐、咨询巨头贝恩公司(Bain&Company)和麦肯锡(McKinsey)列为客户。除了 Expedia、Intuit 和 Loreal,其他尚未在公开宣传中提及的公司还包括咖啡公司 Keurig、YouTube 推广服务 vidIQ 和消费者洞察公司 Hitwise。这些公司都没有回应外媒的置评请求。