Browserextensies van beveiligingsbedrijf Avast en dochter AVG zouden veel meer gegevens van gebruikers verzamelen dan nodig. Mozilla verwijderde de extensies daarom uit zijn add-on-winkel terwijl Google nog niet reageerde, hoewel de praktijk wel tegen de gebruiksvoorwaarden indruist.
Overdreven veel gegevens verzamelen van gebruikers oogt nooit mooi, maar als beveiligingsbedrijf is het toch nog dat tikje gênanter. Wladimir Palant, de man achter de AdBlock Plus-extensie, betrapte Avast en AVG erop precies dat te doen. Avast Online Security, AVG Online Security, Avast SafePrice, en AVG SafePrice zijn de zondaars van dienst.
Privédata verzamelen
Het officiële doel van de extensies is om gebruikers te laten weten wanneer ze een verdachte website bezoeken, en henb op de hoogte te brengen van relevante prijzen tijdens het online shoppen. De vier tooltjes verzamelden echter een gedetailleerde surfgeschiedenis van gebruikers. Dat is niet alleen deontologisch verkeerd, het gaat ook rechtstreeks in tegen de gebruiksvoorwaarden van zowel Mozilla als Google.
Palant ontdekte het probleem in oktober al bij de beveiligingsplugins en schreef er toen een blog over. Die raakte echter nooit van grond, zodat het probleem onopgemerkt bleef. De ontwikkelaar merkte intussen dat ook de prijs-extensies schuldig zijn, en besloot dan maar om rechtstreeks te klagen bij Mozilla en Google. De Firefox-bouwer ondernam meteen actie en smeet de spionerende plugins uit zijn add-on-winkel.
Google deed nog niets, maar daarover is Palant niet verwonderd. “Google heeft geen manier om een probleem te rapporteren behalve een enkele knop in de online winkel”, vertelt Palant in een nieuwe blogpost. “Daarop klikken heeft nooit effect tenzij een probleem de actualiteit haalt.” Ook de Opera-browser biedt de extensies aan. Palant stuurde de bevindingen door maar ook daar blijft het voorlopig stil.
Opzettelijk
Palant vermoedt dat de spionagepraktijken het resultaat zijn van de overname van Jumpshot door Avast in 2013. Jumpshot gaat er prat om clickstreamdata van miljoenen shoppers en appgebruikers aan te bieden, die klanten vervolgens kunnen analyseren om te kijken hoe mensen interageerden met merken, wat ze kochten en meer. De ontwikkelaar ziet de extensies info vergaren die precies daarvoor kan dienen.
Avast ontkent het probleem niet en laat in een reactie aan ZDNet weten dat het bezig is “het probleem op te lossen”. Het lijkt erg onwaarschijnlijk dat Avast kan hardmaken dat het om een vergissing gaat. De gedetailleerde verworven data en de manier waarop die in het Jumpshot-plaatje past, doet vermoeden dat het beveiligingsbedrijf heel goed wist wat het deed en er moedwillig voor koos om gegevens van zijn klanten binnen te halen.
Slechte beurt voor beveiligers
Dergelijke praktijken zijn precies de zaken die je wil voorkomen met de hulp van een beveiligingsbedrijf. Avast en dochter AVG maken hier geen goede beurt. De software wordt vooral gebruikt in een privécontext waar extra beveiliging steeds irrelevanter wordt. De ingebouwde beveiliging van Windows gecombineerd met de beveiligingsmechanismen in browsers volstaan voor de meeste mensen en zelfs kleine ondernemingen. Avast laat hier zien dat intekenen op een extra beveiliger een averechts effect kan hebben.