Problém, na který Motherboard a PCMag upozorňují navazuje na zjištění z konce loňského roku. Mozilla, Opera a následně Google odstranily ze svých prohlížečů rozšíření antivirových systémů Avast a AVG kvůli tomu, že podle tvůrců aplikace AdBlock Plus sbírají uživatelská data a odesílají je na servery Avastu.

Cenné papíry firmy v úterý na pražské burze reagovaly poklesem o 9,32 procenta na 146 korun. Akcie Avastu oslabily i v pondělí. Spolu s úterními ztrátami tak již smazaly skoro celý růst, kterého dosáhly od začátku ledna.

Avast po zveřejnění článků o jeho praktikách vydal oficiální vyjádření pro média, ve kterém pravost informací nepopírá:

"V prosinci roku 2019 jsme rychle reagovali, abychom naplnili standardy webových prohlížečů. Nyní tak naše rozšíření on-line zabezpečení tyto požadavky splňuje. Ve stejném období jsme kompletně zrušili praxi používání dat z doplňku webového prohlížeče pro jakékoliv jiné účely mimo jádro bezpečnostních aplikací, včetně sdílení s naší dceřinou společností Jumpshot.

Ujišťujeme, že Jumpshot nezískává osobní identifikovatelné informace, včetně jména, e-mailové adresy nebo kontaktních údajů. Uživatelé vždy měli možnost odhlásit se z odesílání dat společnosti Jumpshot. Od července 2019 jsme začali zavádět výslovné přihlášení ke sběru informací u nových instalací našeho antivirového softwaru, a nyní tuto výzvu zobrazujeme stávajícím uživatelům našeho bezplatného antiviru. Tento proces bude dokončen v únoru 2020.

Naše Zásady ochrany osobních údajů detailně popisují ochranu, kterou poskytujeme svým uživatelům. Uživatelé mohou také upravit úroveň ochrany osobních údajů s pomocí širokého spektra nastavení dostupných v našich produktech, včetně kontroly nad sdílením jakýchkoliv dat. Dobrovolně naplňujeme požadavky GDPR a kalifornského zákona na ochranu osobních údajů napříč celou globální uživatelskou bází.

Máme dlouhou historii ochrany uživatelských zařízení a dat proti škodlivému softwaru a uvědomujeme si a bereme vážně zodpovědnost vyvážit ochranu osobních dat a nutné použití dat pro naše bezpečnostní produkty."

Avast už první zjištění o sběru uživatelských dat hájil s důrazem na to, že odesílaná data nelze vztáhnout ke konkrétním uživatelům. Nyní se ukazuje, že to není úplně pravda. Dokumenty získané ze společnosti Jumpshot ukazují, že každý uživatel, který používá rozšíření webového prohlížeče od Avastu pod značkou Avast nebo AVG má přidělený jednoznačný identifikátor, který se změní pouze v případě, že uživatel kompletně odinstaluje a znovu nainstaluje produkty Avastu.

Jumpshot slouží jako prodejce dat o uživatelích internetu. Z produktů Avastu získává data, která poté třídí do různých balíčků. Mezi nimi je produkt "Přehled všech kliknutí", který detailně sleduje on-line chování uživatelů. Jumpshot slibuje data o 100 milionech zařízení, Avast má více než 400 milionů aktivních uživatelů, velká část z nich používá bezplatné verze antiviru.

Avast uvádí, že data od uživatelů získává po jejich souhlasu. Aktuální verze Avastu Free Antivirus při instalaci zobrazí informaci o sběru dat s tím, že jde o anonymní údaje. Tuto informační obrazovku Avast zavedl v polovině loňského roku pro nové uživatele. Nové upozornění ukazuje zcela odlišnou tvář Avastu, který slibuje, že údaje jsou zcela anonymní a nelze je zpětně vystopovat ke konkrétním uživatelům. Obsahuje také zavádějící formulaci o použití dat ke zlepšování produktů, Informace o prodeji dat třetím stranám chybí.

Obrázek: Instalace antivirového programu Avast zobrazuje od června výzvu ke sdílení informací. Pro zvětšení klikněte na obrázek.

Motherboard a PCMag získaly anonymizované ukázky dat, která Avast sdílí s partnery. Šlo o vyhledávání na Google.com, vyhledávání míst a GPS souřadnice na Google mapách, návštěvy firemních profilů na síti LinkedIn, konkrétní videa na YouTube i informace o návštěvě pornografických stránek i o tom, jaká videa uživatelé hledali.

Množství konkrétních informací pak podle expertů, se kterými je Motherboard v kontaktu, může posloužit k identifikaci konkrétních uživatelů. Možnost, jak identifikovat uživatele z anonymizovaných dat popisuje aktuální blog Wladimira Palanta, který stojí za rozšířením Adblocku Plus. Ten vysvětluje, že například Amazon může snadno poznat identitu klienta, který na Amazonu něco nakoupil. K identifikaci uživatelů lze použít také informace o navštěvovaných profilech na sociálních sítích.

Jumpshot prodává i plně anonymizovaná data, která mohou klientům sloužit k rozpoznávání trendů. Podle Motherboardu například investoři odebírají přehledy nejnavštěvovanějších webových stránek nebo přehledy všech kliknutí na velkých e-shopech, jejichž analýza může odhalit nákupní zvyklosti uživatelů internetu.

Z uniklých informací je zřejmé, že společnost Omnicom Media Group zaplatila za roční přístup k tomuto typu dat dva miliony a 75 tisíc dolarů. Cena pro rok 2020 je 2,225 milionu a pro rok 2021 vzroste o dalších 50 tisíc dolarů.

Sledování mimo prohlížeč

Nové zjištění Motherboardu ukazuje, že i když Avast upravil chování svých bezpečnostních doplňků pro webové prohlížeče, sběr dat pokračuje. Zdroj, který novináři získali ve společnosti Jumpshot, i uniklé dokumenty údajně potvrzují, že ke sběru dat nyní slouží samotný antivirus. Tentokrát jde o opravdu dobrovolné a vědomé sdílení dat – Avast začal po odhalení problému s doplňkem pro prohlížeče vyzývat uživatele bezplatné verze antiviru k souhlasu se sběrem dat. Pokud souhlasí, všechny informace o procházení webu se dostanou do Jumpshotu, uvádí podle Motherboardu interní příručka firmy.

Motherboard uvádí příklady uživatelů, kteří se sdílením dat s Avastem souhlasili, netušili ale, že firma tato data prodává dalším firmám, které je využívají k cílení reklamy. Stejné reakce mají i uživatelé v Česku. "To je fakt hnůj, od firmy, co tě má chránit," zněla první reakce od jednoho z uživatelů bezplatné verze Avastu.