Csendes adatgyüjtők

Wladimir Palant, az Adblock Plus alkotója kezdetben októberben egy blogbejegyzésben foglalkozott a témával - amely kiterjed az Avast Online Security és az Avast SafePrice, valamint az Avast tulajdonában lévő AVG Online Security és AVG SafePrice kiterjesztésekre is, - de ezen a héten a böngészőket tulajdonló  társaságoknak is feltette a kérdéseit. Válaszul a Mozilla és az Opera is levette a kiterjesztéseket a kiterjesztés boltokból. Csütörtökön este a Google bővítményei között a kiterjesztések még elérhetőek voltak.

Fejlesztői eszközöket használva a hálózati forgalom vizsgálatához, Palant képes volt megállapítani, hogy a kiterjesztések aggasztó mennyiségű adatot gyűjtenek a felhasználók böngészési előzményeiről és tevékenységeiről, ideértve:

• az URL-eket is ahonnan navigáltak,
• arról, hogy az adott oldalt a múltban meglátogatták-e,
• a használt böngészőverzióról.
• Rögzítették az országkódot,
• és ha az Avast Antivirus telepítve volt, akkor számos egyéb adat mellett a készülék operációs rendszerének verzióját is eltárolták

Palant szerint az adatgyűjtés messze meghaladta azt a mértéket, amire a kiterjesztéseknek szüksége lehet alapvető feladataik elvégzéséhez.

Karcsúsodó adatvédelmi szerződés

Palant eredeti posztjának idején a cég adatvédelmi nyilatkozata úgy tűnt, hogy magában foglalja az ilyen adatgyűjtés valamely körülírását, de ez mostanra eltűnt a szövegből. Az internetről azonban semmi sem tűnik el, a Wayback Machineben november 4-én archivált állapot egyik változata szerint ez a következőképpen szólt:

“Információkat gyűjthetünk az:

• Ön által használt számítógépről vagy eszközről,
• a rajta futó termékekről és szolgáltatásokról,
• valamint az eszköz típusától függően arról, hogy Ön milyen operációs rendszereket használ,
• az eszközbeállításairól,
• az alkalmazásazonosítóiról (AI),
• a hardver azonosítókról vagy univerzális egyedi azonosítókról (UUID),
• szoftveres azonosítókról,
• IP-címéről,
• helymeghatározási adatairól,
• Süti-azonosítóiról
• és összeomlás adatairól

akár saját elemző eszközünkkel, akár harmadik felek által biztosított analitikai eszközökkel, például Crashlytics vagy Firebase felhasználásával. Az Ön eszköz- és hálózati adatait összekapcsoljuk a telepítési GUID-azonosítójával.

Minden felhasználótól gyűjtünk eszköz- és hálózati adatokat. Csak azokat az adatokat gyűjtjük és őrizzük meg, amelyekre szükségünk van a funkcionalitás biztosításához, a termék- és szolgáltatásteljesítmény ellenőrzéséhez, a kutatások elvégzéséhez, az összeomlások diagnosztizálásához és kijavításához, a hibák felderítéséhez és a biztonsági vagy műveleti sérülékenységek kijavításához (más szóval, teljesítjük (sic!), az önnel kötött szolgáltatási szerződésünket).”

Noha a vállalat elismerte adatvédelmi nyilatkozatának ebben a változatában, hogy gyűjti ezeket az adatokat, azt nem határozta meg, hogy mennyi ideig tárolják majd azokat egyik szoftververziója esetében sem. Az Avast szóvivője nem válaszolt arra a kérdésre sem, hogy mennyi ideig tárolja a cég a már birtokába került felhasználói adatokat, amiket összegyűjtött, vagy hogy miért változtattak az adatvédelmi irányelveiken.

A Mozilla és az Opera léptek, a Google nem

Akárhogy is, Palant summázata szerint:

“A felhasználóid utáni kémkedés egyértelműen megsérti azokat a feltételeket, amelyeket a Google és a Mozilla is aláírat kiterjesztés-fejlesztőkkel.”

A Mozilla így kommentálta a történteket: „Amikor a Mozilla tudomására jut valami, ami miatt a kiterjesztések nem felelnek meg a cég kiegészítőkkel kapcsolatos politikájának, akkor eltávolíthatja őket az addons.mozilla.org webhelyről.”

Az Opera egyelőre nem kommentálta a dolgot, de jelezte Palant-nek, hogy a kiterjesztéseket eltávolították saját boltjukból. Nem világos, hogy azok miért maradhattak ott a Google Chrome kiterjesztés áruházában csütörtök estig, erről egyelőre a Google szóvivője sem nyilatkozott.

Az Avast szóvivője a maga részéről annyit tett hozzá, hogy a vállalat: „Együtt dolgozik a Mozillával a probléma megoldása érdekében. A Mozilla áruházban évek óta kínáljuk az Avast Online Security és a SafePrice böngésző kiterjesztéseinket" - mondta a szóvivő.

„A Mozilla nemrégiben frissítette üzletpolitikáját, és velük együtt dolgozunk annak érdekében, hogy elvégezzük a bővítményeinken az új követelményekhez történő hozzáigazítást. Már beépítettük a Mozilla új követelményeinek néhány részét, és további frissített verziókat bocsátunk ki, amelyek teljes mértékben megfelelőek lesznek, a következő napokban.”

A szóvivő e-mailben külön elmagyarázta álláspontjukat a Gizmodo-nak, miszerint: „Ehhez a szolgáltatáshoz össze kell gyűjteni az URL-előzményeket a várt funkcionalitás elérése érdekében”, ami nem magyarázza meg például azt, hogy a vállalat miért gyűjtött bármikor helymeghatározási adatokat.

Újból világossá vált, hogy noha vannak megállapodások annak megakadályozására, hogy a kémprogramok vagy más rosszindulatú fejlesztések eljuthassanak a Chrome vagy a Firefox áruházaiba, ezek a védelmi intézkedések időről-időre kudarcot vallanak. Végső soron a felelősség mindig az egyes felhasználókat terheli, hogy az adataik biztonságára ügyeljenek!

(Forrás: Gizmodo Képek: Avast, Chrome Store, Global Panorama/Flickr)