As extensões Avast Online Security, AVG Online Security, Avast Safeprice e AVG Safeprice foram removidas das lojas dos navegadores Firefox (da Mozilla) e Opera, após um pesquisador descobrir que elas coletam muito mais dados sobre os usuários do que o necessário, a ponto de poderem ser classificadas como uma forma de spyware.
A descoberta foi feita por Wladimir Palant, que afirma que as extensões coletam e transmitem dados que permitem “reconstruir todo o seu histórico de navegação, e muito de seu comportamento na web”.
Entre os dados coletados estão o endereço completo e título da página que você está vendo, o endereço da página onde você estava anteriormente, se você digitou o endereço ou clicou em um link para chegar até ela, em qual janela ou aba a página foi carregada, se você já visitou esta página antes, seu país de origem, nome e versão do navegador e do sistem operacional e um identificador único, gerado pela extensão.
De acordo com Palant, são mais informações do que o necessário para que as extensões façam seu trabalho, e mais do que soluções similares de empresas com o Google coletam. Apesar de as informações em si serem teoricamente “anônimas”, há dados suficientes para permitir que sejam ligadas a um perfil em uma rede social, identificando o usuário.
O pesquisador afirma que as informações são condizentes com um produto chamado “clickstream data”, de uma empresa adquirida pela Avast em 2013 chamada Jumpshot. Segundo a empresa seu produto oferece:
“Dados detalhados de 100 milhões de compradores e 20 milhões de usuários de aplicativos em todo o mundo. Analise da maneira que desejar: acompanhe o que os usuários pesquisaram, como eles interagiram com uma determinada marca ou produto e o que eles compraram. Olhe para qualquer categoria, país ou domínio.”
Como “espionar os usuários” é uma violação dos termos de serviço com os quais desenvolvedores de extensões da Mozilla, Google e Opera tem que concordar, Palant reportou os produtos da Avast e AVG para as responsáveis pelos navegadores.
A Mozilla removeu as extensões da loja de complementos para o Firefox, mas não as colocou na “lista negra”, ou seja, as cópias já instaladas continuam funcionando normalmente. A Opera também removeu as extensões, 16 horas após ser avisada sobre o comportamento.
O Google, entretanto, não respondeu e as extensões continuam disponíveis na Chrome Web Store. A recomendação de Palant é que os usuários as desinstalem de todos os seus navegadores, e também desinstalem os navegadores Avast Secure Browser e AVG Secure Browser, já que ambos exibem o mesmo comportamento.
Em resposta às alegações de Palant, a Avast nos enviou o seguinte posicionamento:
“Oferecemos nossas extensões de navegador Avast Online Security e SafePrice por muitos anos através da loja da Mozilla, bem como do Opera. Estamos em contato com eles para fazer os ajustes necessários em nossas extensões para que estejam alinhadas com os novos requisitos. A extensão Avast Online Security é uma ferramenta de segurança que protege os usuários online, inclusive contra sites infectados e ataques de phishing. É necessário que este serviço colete o histórico da URL para fornecer sua funcionalidade esperada. A Avast faz isso sem coletar ou armazenar a identificação de um usuário. Já implementamos alguns de seus novos requisitos e lançaremos outras versões atualizadas que sejam totalmente compatíveis e transparentes de acordo com os novos requerimentos. Elas estarão disponíveis como de costume nas lojas em um futuro próximo”.
Fonte: Wladimir Palant