З 15 жовтня чеський антивірус AVG Free почне збирати про користувачів практично всі доступні дані і навіть відсилати копії деяких файлів. Виконавчий директор компанії Гарі Ковакс (Gary Kovacs) опублікував офіційне звернення, в якому роз'яснює деталі і необхідність таких заходів.
Збором даних займаються практично всі програми, які мають вихід в інтернет. Навіть просто перевіряючи наявність оновлень, вони відсилають розробникам номер своєї версії і використовуваної ОС, залишають в логах час звернення і IP-адреса. Це допомагає оцінювати число установок і географію поширення продукту, практично не порушуючи уявлень про приватності. Багато програм також відправляють звіти про виниклі помилки в їх роботі, що дозволяє виявляти проблеми сумісності і упущені тестувальниками баги. Ці логи вже містять набагато більше даних, але їх рідко зараховують до персональних.
Опції надсилання даних в AVG Free.
Антивіруси зазвичай посилають ще більше відомостей в силу специфіки їх роботи. Хмарна перевірка має на увазі відправку на аналіз підозрілих посилань і файлів, що побічно характеризує самого користувача і розкриває його мережевий профіль в найзагальніших рисах. Такий підхід роками забезпечував баланс між високим рівнем захисту і приватних даних, інтересами розробників і кінцевих користувачів.
У безкоштовному антивірусі AVG теж дотримувався цей етичний підхід, але часи змінюються. після реалізації Microsoft цілого переліку відверто шпигунських функцій в Windows 7 - 10, інші розробники вирішили, що їм теж можна збирати цифрову данину на комп'ютерах клієнтів. Якщо раніше антивірус AVG Free відправляв тільки відомості про заражених файлах і пошукові запити користувача, то зараз список витікає в мережу інформації розширився в рази.
Тепер при кожному запуску антивіруса або відвідуванні сайту розробника буде збиратися наступна інформація:
- IP-адреса клієнта;
- інформація про інших програмах, які встановлено на пристрої, і особливості їх використання;
- дані про виявлені потенційно шкідливі програми (утиліти хакерів, генератори ключів, емулятори сервера активації і т.п.);
- копії файлів і електронних листів, помічених антивірусним сканером як віруси або потенційно шкідливі програми;
- імена підозрілих (за результатами перевірки в евристичному аналізаторі) файлів, їх хеши і властивості, атрибути та пов'язані ключі реєстру;
- інформація про те, як ви використовуєте продукти AVG, включаючи особливості поведінки (число повторних установок, час використання, налаштування, стійкість вводяться паролів і використовуваних рівнів шифрування);
- інформація про те, де саме використовуються продукти і послуги AVG (в тому числі приблизне місце розташування пристрою, поштовий індекс регіону, код міста і часовий пояс).
- URL, з якого було виконано перенаправлення на завантаження дистрибутива AVG Free.
- ідентифікатор споживача персоналізованої реклами (прив'язаний до пристрою);
- історія пошуку і відвіданих сайтів;
- назва інтернет-провайдера або оператора стільникового зв'язку;
Фрагмент заяви про політику конфіденційності в додатку AVG AntiVirus FREE for Tablets.
На мобільних пристроях до неї додадуться такі дані:
- IMEI і MEID (ідентифікатори пристроїв);
- IMSI (ідентифікатор SIM-карти);
- номер мобільного телефону;
- ID пристрої (серійний номер і код виробника);
- географічне розташування за даними GPS і мережі.
Більш детально зі змінами в політиці конфіденційності AVG можна ознайомитися на офіційному сайті AVG. Як заявляє розробник, всі чутливі дані проходять процедуру знеособлення на сервері. Наприклад, у IP-адреси може ховатися останній октет. «Ми збираємо неособисті дані, щоб заробити гроші від використання наших безкоштовних продуктів, а також щоб ми могли продовжувати надавати їх безкоштовно», - йдеться в тексті заяви.
Фраза про зрозумілому бажанні заробити гроші суперечить наступного твердження: «Ми ніколи не передамо ваші персональні дані (ПД) третій стороні, включаючи рекламодавців». Мабуть, вся справа в винятки з цього правила. У примітці йдеться, що як міжнародна компанія, AVG залишає за собою право передавати певні ПД своїм підрозділам і філіям в інших країнах, а також афільованим фірмам, постачальникам пошукових сервісів, окремим дистриб'юторам і партнерам. Під це визначення за фактом може потрапити будь-яка організація.
Крім того, ПД передаються за запитом влади (в тому числі в іншій країні) і різним організаціям у виняткових випадках. До них відносяться запобігання розсилки спаму, ліквідації ботнетів і інші дії, що підвищують загальну безпеку з точки зору AVG.
AVG. Privacy? Policy!
Якщо раніше антивірус діяв переважно локально і виконував зрозумілу функцію визначення шкідливого ПО, то тепер він сам став володіти властивостями трояна. Компанія акцентує увагу на тому, що не збирає конфіденційні дані, на кшталт номерів кредитних карт і соціального страхування. Разом з тим, вона визнає, що «такі відомості можуть випадково потрапити в відправляються файли» через особливості роботи ОС і додатків.
Проблема тут не стільки в зрослих апетитів окремої компанії, скільки в мінливому ставленні до збору відомостей про клієнтів. При необхідності можна відмовитися від якоїсь шпигують програми, але її розробники створюють небезпечний прецедент для інших.
Все написане вище офіційно стосується тільки AVG Free і нових правил, що вступають в дію 15 жовтня 2015 р Оскільки "біда не приходить одна", є велике бажання нацькувати Wireshark і на платну версію антивіруса в другій половині жовтня. Заодно і перевіримо, чи дійсно користувач може не надсилати всіх даних в налаштуваннях.
Privacy?