曾经,Avast 做为全球知名的杀毒软件,可以说是欧洲的骄傲,不仅拥有出色的杀毒能力,还免费开放,凭借较低的硬件占用空间和更好的付费扩展服务赢得广大用户好感。然而,现在的 Avast 已经沦落为一家赖皮的流氓软件厂商。
据了解,数月前微软曾清理过一次系统清理软件 CCleaner,其本身清理功能薄弱,安全防护也存在问题,而且还内置捆绑了 Avast 杀毒软件。而 CCleaner 的母公司正是 2017 年就被 Avast 收购的 Piriform,此后 CCleaner 的品质和安全性能一直下降,Avast 还悄悄地捆绑了自己的软件。
不仅如此,Avast 被曝旗下多款浏览器扩充工具都有严重侵犯用户隐私的嫌疑,比如这些工具会在用户使用时详细记录其操作踪迹、用户曾打开了哪些网页、在网页上停留了几秒钟等。
近日,根据外媒 Vice 和 PCMag 的联合调查发现让人更为恼怒的事,Avast 的 Mac 和 Windows 版杀毒软件一直被用于暗中挖掘用户数据,然后再把敏感讯息出售给包括 Google、微软和财务软件开发商 Intuit 等在内的第三方。
Avast 提供免费和付费的杀毒工具,每月大约有超过 4.35 亿活跃用户在 Macs、个人电脑和行动装置上使用 Avast 的产品,保护他们的数据免受伤害。同时,Avast 的软件提供了选择加入的选项,允许公司收集某些类型的用户数据,然后透过附属公司 Jumpshot 进行销售。
能赚钱的数据
这些销售出的数据,对 Avast 而言是一笔丰厚的收入。
在与 Jumpshot 客户的合约副本中,一家行销公司在 2019 年为数据访问支付了 200 多万美元,这些数据包括基于浏览行为推断的用户性别、年龄、删除个人身份讯息的“整个网址字符串”,以及其他细节。
虽然设备标识被“散列”以防止客户端辨识个人,但由于设备标识不会因为用户而改变,除非他们完全重新安装 Avast 工具,这可能允许随着时间推移在一个用户上建立大量数据,进而导致“在线辨识”。
从 Avast 到 Jumpshot
据外媒披露,安装在个人电脑上的 Avast 防病毒程式收集数据后,Jumpshot 将其重新打包,然后卖给 Google、美版大众点评网 Yelp、微软、麦肯锡、百事可乐、丝芙兰、家得宝、康德纳斯、Intuit 和许多其他公司。
一些客户花了数百万美元购买数据,它可以非常精确地追踪用户行为、点击和跨网站操作,Avast 声称,每月有超过 4.35 亿的活跃用户,而 Jumpshot 宣称有 1 亿台设备的数据。Avast 从选择加入的用户那里收集数据,然后提供给 Jumpshot,但多个 Avast 用户告诉 Vice,他们并不知道 Avast 出售了浏览数据。
据 Vice 和 PCMag 获得的讯息,这些数据包括 Google 搜寻、Google 地图上位置和 GPS 坐标的查找、访问公司 LinkedIn 页面的人、特别是 YouTube 影片以及访问色情网站的人。可以从收集的数据中确定匿名用户访问 YouPorn 和 PornHub 的日期时间,在某些情况下还可以确定他们在色情网站中输入了什么关键字,以及观看了哪些特定影片。
(Source:Flickr/download.net.pl CC BY 2.0)
尽管这些数据不包括用户姓名等个人讯息,但仍包含大量特定浏览数据,专家表示可能会取消某些用户的姓名。
Jumpshot 在 7 月发布的一份新闻稿中称,他们致力于让行销人员对在线用户的行为有更深入的了解。Jumpshot 之前曾公开讨论过其部分客户,有提到包括 Expedia、IBM、Intuit,后者生产 TurboTax、Loreal 和 HomeDepot,公司要求员工不要公开谈论 Jumpshot 与这些公司的关系。
联合调查结果显示,直到最近,数据收集都是透过 Avast 向用户提供可疑和恶意网站警告的插件。安全研究人员和 AdBlock Plus 创建者佛拉基米尔‧帕朗特(Wladimir Palant)在去年 10 月的一份报告中披露,该外挂曾在 10 月份被用来获取数据,这促使 Mozilla、Opera 和 Google 取消了对 Avast 扩展的访问。
针对这一调查,Avast 在声明中表示,该公司已停止向 Jumpshot 提供扩展收集的浏览数据。但是调查进一步从来源和泄露的文件中发现,Avast 仍在进行数据收集,但透过杀毒软件本身,而不是浏览器外挂。上周,一分内部文件显示 Avast 已开始要求免费杀毒工具的用户再次选择加入数据收集。
去年 12 月,参议员 Ron Wyden 曾提问 Avast 为什么要出售用户的浏览数据,他在一份声明中表示:“我担心的是,Avast 尚未承诺删除未经用户选择加入同意而收集和共享的用户数据,或终止销售敏感的网络浏览数据。唯一负责任的做法是对未来的客户完全透明化,并清除过去在可疑条件下收集的数据。”
微软就其购买 Jumpshot 产品的具体原因拒绝置评,并表示目前与该公司没有任何关系。
家得宝发言人在电子邮件声明中表示,“我们有时会利用第三方供应商的讯息来帮助改进我们的业务、产品和服务。我们要求这些供应商拥有与我们共享此讯息的适当权利。在这种情况下,我们会收到匿名的受众数据,这些数据无法用于辨识个人客户。”
西南航空表示,公司与 Jumpshot 进行了讨论,但没有与该公司达成协议。IBM 表示,它没有做客户的纪录。
在其网站和新闻稿中,Jumpshot 将百事可乐、咨询巨头贝恩公司(Bain&Company)和麦肯锡(McKinsey)列为客户。除了 Expedia、Intuit 和 Loreal,其他尚未在公开宣传中提及的公司还包括咖啡公司 Keurig、YouTube 推广服务 vidIQ 和消费者洞察公司 Hitwise,这些公司都没有回应外媒的置评请求。
(本文由 雷锋网 授权转载,首图来源:Flickr/matusiak CC BY 2.0)
