С 15 октября чешский антивирус AVG Free начнёт собирать о пользователях практически все доступные данные и даже отсылать копии некоторых файлов. Исполнительный директор компании Гари Ковакс (Gary Kovacs) опубликовал официальное обращение, в котором разъясняет детали и необходимость таких мер.
Сбором данных занимаются практически все приложения, имеющие выход в интернет. Даже просто проверяя наличие обновлений, они отсылают разработчикам номер своей версии и используемой ОС, оставляют в логах время обращения и IP-адрес. Это помогает оценивать число установок и географию распространения продукта, практически не нарушая представлений о приватности. Многие программы также отправляют отчёты о возникших ошибках в их работе, что позволяет выявлять проблемы совместимости и упущенные тестировщиками баги. Эти логи уже содержат гораздо больше данных, но их редко причисляют к персональным.
Антивирусы обычно отсылают ещё больше сведений в силу специфики их работы. Облачная проверка подразумевает отправку на анализ подозрительных ссылок и файлов, что косвенно характеризует самого пользователя и раскрывает его сетевой профиль в самых общих чертах. Такой подход годами обеспечивал баланс между высоким уровнем защиты и приватностью, интересами разработчиков и конечных пользователей.
В бесплатном антивирусе AVG тоже соблюдался этот этичный подход, но времена меняются. После реализации Microsoft целого перечня откровенно шпионских функций в Windows 7 — 10, остальные разработчики решили, что им тоже можно собирать цифровую дань на компьютерах клиентов. Если раньше антивирус AVG Free отправлял только сведения о заражённых файлах и поисковые запросы пользователя, то сейчас список утекающей в сеть информации расширился в разы.
Теперь при каждом запуске антивируса или посещении сайта разработчика будет собираться следующая информация:
- IP-адрес клиента;
- информация о других приложениях, которые установлены на устройстве, и особенности их использования;
- данные об обнаруженных потенциально вредоносных программах (хакерские утилиты, генераторы ключей, эмуляторы сервера активации и т.п.);
- копии файлов и электронных писем, помеченных антивирусным сканером как содержащие вирусы или потенциально вредоносные программы;
- имена подозрительных (по результатам проверки в эвристическом анализаторе) файлов, их хеши и свойства, атрибуты и связанные ключи реестра;
- информация о том, как вы используете продукты AVG, включая особенности поведения (число повторных установок, время использования, настройки, стойкость вводимых паролей и используемых уровней шифрования);
- информация о том, где именно используются продукты и услуги AVG (в том числе приблизительное местоположение устройства, почтовый индекс региона, код города и часовой пояс).
- URL, с которого было выполнено перенаправление на загрузку дистрибутива AVG Free.
- идентификатор потребителя персонализированной рекламы (привязан к устройству);
- история поиска и посещённых сайтов;
- название интернет-провайдера или оператора сотовой связи;
На мобильных устройствах к ней добавятся следующие данные:
- IMEI и MEID (идентификаторы устройств);
- IMSI (идентификатор SIM-карты);
- номер мобильного телефона;
- ID устройства (серийный номер и код производителя);
- географическое местоположение по данным GPS и сотовой сети.
Более подробно с изменениями в политике конфиденциальности AVG можно ознакомиться на официальном сайте AVG. Как заявляет разработчик, все чувствительные данные проходят процедуру обезличивания на сервере. К примеру, у IP-адреса может скрываться последний октет. «Мы собираем неличные данные, чтобы заработать деньги от использования наших бесплатных продуктов, а также чтобы мы могли продолжать предоставлять их бесплатно», – говорится в тексте заявления.
Фраза о понятном желании заработать деньги противоречит следующему утверждению: «Мы никогда не передадим ваши персональные данные (ПД) третьей стороне, включая рекламодателей». Видимо, всё дело в исключениях из этого правила. В примечании говорится, что как международная компания, AVG оставляет за собой право передавать определённые ПД своим подразделениям и филиалам в других странах, а также аффилированным фирмам, поставщикам поисковых сервисов, отдельным дистрибьюторам и партнёрам. Под это определение по факту может попасть любая организация.
Кроме того, ПД передаются по запросу властей (в том числе другой страны) и различным организациям в исключительных случаях. К ним относятся предотвращение рассылки спама, ликвидации ботнетов и другие действия, повышающие общую безопасность с точки зрения AVG.
Если раньше антивирус действовал преимущественно локально и выполнял понятную функцию определения вредоносного ПО, то теперь он сам стал обладать свойствами трояна. Компания акцентирует внимание на том, что не собирает конфиденциальные данные, вроде номеров кредитных карт и социального страхования. Вместе с тем, она признаёт, что «такие сведения могут случайно попасть в отправляемые файлы» из-за особенностей работы ОС и приложений.
Проблема здесь не столько в возросших аппетитах отдельной компании, сколько в меняющемся отношении к сбору сведений о клиентах. При необходимости можно отказаться от какой-то шпионящей программы, но её разработчики создают опасный прецедент для других.
Всё написанное выше официально касается только AVG Free и новых правил, вступающих в действие 15 октября 2015 г. Поскольку «беда не приходит одна», есть большое желание натравить Wireshark и на платную версию антивируса во второй половине октября. Заодно и проверим, действительно ли пользователь может отключить отправку всех данных в настройках.