Avast kohu: Miksi emme enää suosittele Avast:ia & AVG:ta

Lukijamme ovat olleet meihin yhteydessä ja kysyneet, miksi edelleen listaamme Avast:in ja AVG:n sivustollamme, vaikka ne ovat joutuneet vakavan kohun keskelle. No, vaihdettuamme ajatuksia ja harkittuamme asiaa vakavasti eri osastojemme kesken päätimme lopulta poistaa ne kaikista listauksistamme.

Miksi? Koska Avast – joka omistaa myös AVG:n – on viime kuukausien aikana saanut osakseen vakavia syytöksiä epäeettisten liiketoimintakäytäntöjen käyttämisestä.

Avast Online Security –selainlaajennus poistettiin Mozilla:n, Chrome:n ja Opera:n sovelluskaupoista vuoden 2019 joulukuussa sen jälkeen, kun väitti sen keränneen epäilyttävän määrän käyttäjädataa — ei ainoastaan jokaisesta vieraillusta sivustosta, vaan myös käyttäjän sijaintitiedot, hakuhistorian, iän, sukupuolen, sosiaalisen median käyttäjäprofiilit ja jopa henkilökohtaiset osoitetiedot. Kolme kuukautta myöhemmin, tutkimusraporttien julkaistua tietonsa Avast lakkautti Jumpshot-tytäryhtiönsä. Raportit dokumentoivat henkilökohtaisten tietojen myymisen yli 100 miljoonalta käyttäjältä, jotka oli hankittu sopimattoman käyttäjävalvonnan avulla.

SafetyDetectives-tiimi harkitsi seuraavien viikkojen aikana huolellisesti päätöstään poistaa Avast sivustolta. Lopputuloksena on se, että mikä tahansa yhtiö, joka saa osakseen näin vakavia syytöksiä menettää luottamuksemme, emmekä voi enää suositella sitä.

Kerromme miten Avast väitetysti vakoili käyttäjiään viimeisten 7 vuoden aikana

Wladimir Palant — Adblock Plus:san perustaja — nosti ensimmäisenä esille Avast:in petolliset käytännöt. Lokakuussa 2019 hän julkaisi raskauttavat tiedot blogissaan joka sisälsi yksityiskohtaisen selostuksen siitä, miten hänen mielestään Avast pystyi ”siirtämään tietoja, jotka mahdollistavat käyttäjän koko selaushistorian ja selauskäytöksen kokoamisen”.

Käytännössä Avast ja AVG:n Online Security –laajennus tallensivat käyttäjien jokaisen klikkauksen – ne tallensivat millä verkkosivuilla oli vierailtu, milloin ja mistä. Vaikka Avast väitti, että tiedonkeruu oli tarpeellinen osa Online Security – liitännäisen toimintaa, kilpailevien tuotemerkkien selainlaajennukset näyttivät pärjäävän hienosti joutumatta keräämään näin suurta määrää henkilökohtaista dataa.

Sen jälkeen paljastui, että tietoja myytiin Avast:in tytäryhtiön Jumpshot:in kautta suuryrityksille, kuten Home Depot:ille, Google:lle ja Pepsi:lle.

Avast:in tytäryhtiö myi käyttäjätietoja miljoonavoitoilla

Vuonna 2013 Avast hankki Jumpshot:in, yhtiön, joka keräsi “nimettömiä” käyttäjätietoja ja myi ne verkossa toimiville yrityksille. Julkiset tiedot Jumpshot:ista olivat hyvin epämääräisiä, mutta he väittivät hankkineensa ”clickstream-dataa 100 miljoonalta nettishoppailijalta ja 40 miljoonalta sovelluskäyttäjältä”. Jumpshot:in käyttäjädatan lähde oli Avast:iin upotettu vakoiluohjelma ja AVG:n Online Security -selainlaajennus. Palant oli liikkeelle paneva henkilö tämän paljastuksen takana, mutta viimeinen niitti Jumpshot:ille oli tämä artikkeli VICE Motherboard:ilta, joka julkaistiin alkuvuodesta 2020. Siinä luetellaan Jumpshot:ilta dataa ostaneet yritykset, minkä lisäksi siitä löytyy ilmiantajan haastattelu sekä Avast:ilta ja Jumpshot:ilta vuotaneet sisäiset asiakirjat. Jumpshot väitti, että “henkilökohtaisia tunnistetietoja” ei sisältynyt myytyyn dataan, mutta monet asiantuntijat eivät olleet tästä vakuuttuneita.

Selvityksen mukaan Jumpshot:in data sisälsi kaikki Avast Online Security -käyttäjien tekemät klikkaukset sekä aikamerkinnät (millisekunnin tarkkuudella), ja lisäksi maa-, kaupunki- ja postinumerotiedot käyttäjien IP-osoitteiden kautta. Algoritmi, joka suunniteltiin ennakkotarkastamaan esimerkiksi sähköpostiosoitteet ja sosiaalisen median profiilit, ja jonka Palant paljasti toimivan vakavasti väärällä tavalla — kuljetusyritysten lähetystiedot, jotka sisälsivät nimet ja kotiosoitteet sisältyivät Jumpshot:in myymiin datapaketteihin.

Yhdysvaltain senaattorit ja tutkivat journalistit pitivät Avast:ia vastuullisena

Oregonin senaattori Ron Wyden, joka on tietoturvan, verkon puolueettomuuden ja digitaalisen yksityisyyden tunnettu kannattaja, kritisoi julkisesti Avast:ia Twitterissä joulukuussa 2019: “Amerikkalaiset olettavat tietoturvan ja tietosuojan ohjelmiston suojaavan tietojaan, eikä myyvän niitä markkinointitarkoituksiin. Tutkin tätä huolestuttavaa selvitystä Avast:ista ja sen kyvyttömyydestä suojella kuluttajien tietoja.”

Kun se poistettiin Chrome:n, Mozilla:n ja Opera:n sovelluskaupoista, Avast:illa oli tilaisuus hylätä yksityisyyttä loukkaavat käytäntönsä ja aloittaa käyttäytymään vastuullisen tietoturvayhtiön lailla. Se muutti Online Security -selainlaajennuksen tietosuoja-asetuksia, joka palasi sovelluskauppoihin joulukuun lopussa. Siitä huolimatta, kuten VICE Motherboard paljasti, se yksinkertaisesti siirsi datankeräyksen pääasialliseen virustorjuntaohjelmistoonsa ja upotti asennusprosessiin “salli” kysymyksen datankeräyksestä.

VICE Motherboard artikkelin ja yksimielisen julkisen paheksunnan edessä Avast lopulta lopetti Jumpshot:in toiminnan täysin helmikuussa 2020. Mutta SafetyDetectives:ille ja monille muille tietoturva-alan toimijoille se oli jo liian myöhäistä. 7 vuoden ajan jatkunut käyttäjätietojen salainen hyödyntäminen on koko virustorjuntaohjelmien historian yksi suurimmista moraalisista väärinkäytöksistä.

Miksi virustorjuntayhtiöiden moraaliset väärinkäytökset ovat erityisen vakavia

Virustorjuntaohjelma on luonteeltaan tunkeileva ohjelmia. Myönnämme virustorjuntaohjelmalle valtavasti käyttöoikeuksia järjestelmäämme — arkaluonteiset tiedostot, selaushistoria, pankkitiedot ja henkilökohtaiset verkostot ovat kaikki näkyvissä antivirukselle. Allekirjoitamme tietosuojakäytännöt ja käyttäjäsopimukset sillä oletuksella, että lakikieleen ei ole piilotettu harhaanjohtavia lauseita. Mutta rikkomalla asiakkaan yksityisyyttä tällä tavalla, Avast on ympäri maailmaa turmellut käyttäjien ja virustorjuntatuotteiden välistä suhdetta. Hakkereiden ja tunkeilevien hallitusten aikaansaamia vaaroja on jo muutenkin riittävästi – virustorjuntayhtiöiden ei pitäisi olla käyttäjäturvallisuuden uhkana.

Jumpshot on virallisesti lopetettu, ja Avast Online Security on palannut takaisin Chrome:n ja Mozilla:n sovelluskauppoihin tiukempien yksityisyyssuojausten kera. Tosiasia on kuitenkin se, että Avast hyödynsi epäeettisesti käyttäjädataa 7 vuoden ajan ja ainut asia mikä sai sen lopettamaan, oli Wladimir Palant:in ja VICE Motherboard:in tutkivien journalistien raportointi asiasta. Meidän mielipiteemme on se, että jos riippumattomat asiantuntijat eivät olisi rohkeasti dokumentoineet näitä vakavia väärinkäytöksiä ja kertoneet siitä julkisesti, Avast olisi vain jatkanut huijauksen pyörittämistä. Voi jopa väittää, että Avast todella harkitsi käytäntöjensä muuttamista vasta kun Yhdysvaltojen senaattori puuttui asiaan.

Käyttäjäpalaute sai meidät poistamaan Avast:in SafetyDetectives:tä

Meillä on ollut SafetyDetectives:sä muita ongelmia Avast:in kanssa vuosien saatossa — negatiivisen arvion jälkeen he itse asiassa vetivät mainoksensa pois sivustoltamme. Silti olemme aina pyrkineet esittelemään käyttäjille parhaat tietoturvatuotteet, riippumatta liikesuhteistamme yrityksiin jotka vaikuttavat sivustomme kannattavuuteen. Sen takia pidämme edelleen Avast:in ja AVG:n listoillamme – pidämme sitä jopa ykköspaikalla parhaana mobiililaitteiden antiviruksena.

Miksi virustorjuntayhtiöiden moraaliset väärinkäytökset ovat erityisen vakavia

Siitä huolimatta, viimeisten 7 vuoden aikana tapahtuneiden räikeiden tietosuojaloukkausten vuoksi emme voi enää jatkaa Avast:in tai sen tytäryhtiöiden (kuten AVG:n) kannattamista sivustollamme.

Olemme harkinneet tätä siirtoa pitkään. Vaikka monet suositut arviointisivustot jatkavat Avast:in kannattamista – ja hyötyvät siitä – olemme jo jonkin aikaa siirtäneet niitä pois listoiltamme. Ylivoimaisesti paras motivaattori meille oli lukijoidemme lähettämä palaute, kuten tämä: “AVAST:in tekemän datamyynnin jälkeen tämän ohjelmiston ei pitäisi saada ollenkaan positiivisia arvioita tai suosituksia”.

Olemme täysin samaa mieltä. Tällaisten yksityisyyden loukkausten uskoisi häiritsevän kaikkia, jotka kannattavat tavallisia ihmisoikeuksia. Siksi on niin tärkeää, että tietokoneiden käyttäjät olisivat tietoisia tällaisista ongelmista, ja suojasivat koneensa luotettavalla virustorjuntaohjelmistolla.

Ei ole aina helppoa eikä suosittua vastustaa suuryrityksiä, kun ne rikkovat oikeuksiamme, mutta se on tärkeää. SafetyDetectives:in perustamisen tarkoituksena oli tarjota käyttäjille ympäri maailmaa työkalut tietojen suojaamiseen tällä digitaalisella aikakaudella – turvassa hakkereilta, epäluotettavilta hallituksilta ja jopa petollisilta Avast:in tapaisilta yhtiöiltä, jotka ovat osoittaneet maailmalle miten vähän ne välittävät käyttäjistään.

Vaikka Avast on palannut useimpiin sovelluskauppoihin ja suurin osa 400 miljoonasta käyttäjästä jatkaa ohjelman käyttämistä tietämättä sen moraalisista väärinkäytöksistä, me täällä SafetyDetectives:illä pysymme ylpeästi vakaumuksessamme.

Eli jos ihmettelet miksi sivustollamme ei mainita Avast:ia tai AVG:tä, tässä syy.

Jos tarvitset antivirusta joka ei varasta tietojasi ja myy niitä Pepsille, katso listauksemme parhaista virustorjuntaohjelmista 2020.

Tekijästä

Ben Martens
Ben Martens
Cybersecurity journalist

Tekijästä

Ben Martens on tietoturva-alan toimittaja, joka on perehtynyt internetin etiikkaan, haittaohjelmien testaukseen ja yhteiskuntapolitiikkaan. Hän asuu Yhdysvaltojen Oregonissa, ja vapaalla ollessaan hän joko lenkkeilee koiransa kanssa tai keksii tarinoita tyttärensä kanssa.