Non è una novità: la versione free del popolarissimo antimalware Avast raccoglie puntualmente i dati relativi alle attività di navigazione degli utenti passandoli alla controllata Jumpshot che, a sua volta, li mette a disposizione di una vasta schiera di clienti. Questi ultimi possono usare i dati acquisiti per predisporre campagne pubblicitarie, verificare l’interesse dell’utenza dopo il lancio di un nuovo prodotto, saperne di più sulle abitudini e sugli interessi dei consumatori.
Il comportamento tenuto dalla versione free di Avast aveva portato Mozilla e Google a rimuovere le estensioni per il browser dai rispettivi store online (Mozilla rimuove le estensioni di Avast e AVG dal suo store) mentre il CEO dell’azienda si era dovuto affrettare a chiarire il funzionamento dei meccanismi di raccolta dei dati: Il CEO di Avast parla del meccanismo di raccolta dei dati di navigazione.
Come avevamo osservato nel nostro articolo Avast Free: come funziona la scansione dei siti sicuri HTTPS, facendo leva su una peculiarità integrata nei principali browser (che permette di accedere ai dati in chiaro relativi ai trasferimenti cifrati via HTTPS), Avast può acquisire informazioni anche rispetto alle pagine veicolate in forma crittografata.
Dopo l’indagine di Wladimir Palant una nuova verifica conferma che i dati rastrellati da Avast Free, applicazione utilizzata da centinaia di milioni di utenti in tutto il mondo, vengono venduti ad alcune tra le più grandi aziende: Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit e molte altre.
Durante i controlli che sono stati effettuati (vedere questa pagina), è emerso che Avast ha memorizzato e trasmesso a Jumpshot informazioni quali le ricerche effettuate sul motore di Google, la posizione geografica degli utenti e le ricerche su Google Maps, le pagine visitate sui social, i video guardati su YouTube e altro ancora.
Sebbene i dati acquisiti da Avast non includano informazioni personali come i nomi degli utenti, essi contengono comunque una grande quantità di dati di navigazione specifici e gli esperti fanno notare come in alcuni casi sia possibile deanonimizzare gli utenti.
I dati raccolti sono così granulari che i clienti possono visualizzare i singoli clic che gli utenti fanno durante le loro sessioni di navigazione, compresa la data e l’ora di ogni singola operazione, approssimata al millisecondo. Se i dati raccolti non sono mai collegati al nome di una persona, a email o indirizzi IP, la cronologia di navigazione di ciascun utente è comunque associata a un identificativo univoco che si riferisce al singolo dispositivo. Esso è “persistente” e rimane invariato a meno che l’utente non disinstalli l’antimalware di Avast.
Il singolo record relativo a un clic effettuato nel browser dall’utente appare in maniera simile:
Negli Stati Uniti il senatore Ron Wyden ha chiesto ad Avast di cessare la raccolta di dati: “sono preoccupato del fatto che Avast non si sia ancora impegnata a cancellare i dati degli utenti che sono stati raccolti e condivisi senza il consenso dei suoi utenti o a porre fine alla vendita di dati sensibili“, ha dichiarato. “L’unica linea d’azione responsabile è quella di essere completamente trasparenti con gli utenti ed eliminare i dati raccolti in passato“.