Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Avast verkauft Nutzerdaten im großen Stil – ohne Anwender ausreichend zu informieren

Avast sieht sich mit Vorwürfen der umfassenden Weitergabe von Nutzerdaten an Drittunternehmen konfrontiert. Der Anbieter von Antiviren-Software für Mac, PC und Mobilgeräte soll sensible Anwenderdaten wie Suchmaschinen-Eingaben, Website-Besuche und GPS-Standorte über das Tochterunternehmen Jumpshot an Firmen wie Google, Microsoft oder Pepsi verkauft haben.


Google, Yelp, Microsoft und viele weitere Unternehmen bekommen Zugriff
Das Abschöpfen von Nutzerdaten funktioniert laut Bericht folgendermaßen: Die jeweilige Avast Software gibt Anwendern die Möglichkeit, sich per Opt-in bereitzuerklären, einige Daten an das Unternehmen weiterzuleiten. Daraufhin nutzt der Antivirus-Anbieter die Tochterfirma Jumpshot, um die erhobenen Inhalte an andere Unternehmen zu verkaufen. Dazu zählen Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit und viele weitere Firmen.

Jumpshot verkauft die Daten in verschiedenen Paketen, so der Bericht. Die teuerste Variante „All Clicks Feed“ koste mehrere Millionen US-Dollar und gebe Käufern die Möglichkeit, das Nutzerverhalten auf Websites detailliert nachzuvollziehen. Dazu gehören beispielsweise das Klickverhalten, die Mausbewegungen und die Dauer des Besuchs.

Datum und Uhrzeit von Pornoseiten-Besuchen
Avast soll Kunden weder über die Bezieher der Daten noch über den vergleichsweise großen Umfang der abgeschöpften Inhalte ausreichend informiert haben. Entsprechend überrascht zeigten sich einige der Betroffenen gegenüber Vice.

Zwar bemühe sich der Anbieter um die Anonymisierung der Inhalte, doch die sehr spezifischen Browserdaten können dennoch Rückschlüsse auf die jeweiligen Nutzer zulassen. Beispielsweise seien sowohl das Datum als auch die Uhrzeit von Pornoseiten-Besuchen aufgeführt – in manchen Fällen sogar entsprechende Suchbegriffe auf den jeweiligen Seiten inklusive der gesehenen Videos. Avast verwendet dem Bericht zufolge das hauseigene Browser-Plugin, um Anwenderinformationen abzugreifen.

Kommentare

rosss28.01.20 09:15
Senator Ron Wyden (zitiert aus dem vice-Artikel)
However I’m concerned that Avast has not yet committed to deleting user data that was collected and shared without the opt-in consent of its users, or to end the sale of sensitive internet browsing data.

Laut dem Artikel wurden Daten also auch ohne Zustimmung abgegriffen. Schon der Umstand, dass die Nutzer nicht darauf hingewiesen werden was für sensible Daten bei Zustimmung gesammelt und verkauft werden, sollte die Staatsanwaltschaft auf den Plan rufen. Spionage ohne Zustimmung ist nochmal eine andere Hausnummer.

Aber laut Artikel reicht es ja wohl wenn der Laden sein Geschäftsmodell in Teilen abmildert. Tu felix USA.

Ich hatte Avast schon mal vor Jahren in einer Windows-VM installiert. Man liest ja schlimme Dinge von ungeschütztem Internet-Verkehr mit Win. Damals dachte ich ganz naiv, dass das größte Risiko wäre aus Versehen einen der regelmäßig auftauchenden Riesen-Buttons im Programm zu klicken und so in eine Abo-Falle zu geraten.


Abendgebet: Möge Apple es schaffen, aus Catalina ff. wieder zuverlässige Systeme zu machen, bevor die Vorgänger in knapp zwei Jahren aus dem Support fallen.
0
julius_71028.01.20 09:23
Hatte avast immer mal wieder installiert um nen kompletten Virenscan zu machen. Es dann aber auch immer wieder deinstalliert weil es immer im Hintergrund mitläuft. Tja war dann wohl das letzte mal.
+2
Hot Mac
Hot Mac28.01.20 10:00
Schon krass, was sich die Verantwortlichen mancher Unternehmen erlauben, ohne dabei rot zu werden.

Ich würde mich in Grund und Boden schämen ...
+5
sunni28.01.20 10:53
Viel schlimmer finde ich ja, dass Avast den SSL-Traffic aufbrechen muss um den Inhalt zu lesen. Internet Security, my ass!
+2
MikeMuc28.01.20 11:02
sunni
Viel schlimmer finde ich ja, dass Avast den SSL-Traffic aufbrechen muss um den Inhalt zu lesen. Internet Security, my ass!
Aber das machen doch wohl alle Programme, die dich im Internet beschützen wollen. Blöd ist hier jetzt nur, das die Daten verkauft haben. Damit sollte das Vertrauen der Kundschaft gegen Null gehen und eigentlich sollte die Firma jetzt zusperren. Oder per Sammelklage zu etlichen Fantastilliarden verklagt werden (die haben doch hoffentlich auch eine Zweigstelle in USA wo man sowas machen kann )
+3
sunni28.01.20 11:04
Stimmt, du hast recht. Im Grunde genommen machen das alle Internet Security Tools.
0
Sideshow Bob
Sideshow Bob28.01.20 11:26
Und Tschüss Avast - hier hat jemand offenkundig nicht begriffen was es ihn kostet wenn er das Vertrauen seiner Kundschaft verspielt...

Jetzt kann man nur hoffen dass dieses Unding berücksichtigt wird wenn mal wieder "die besten Virenscanner für den Mac 2020" geschrieben wird und der Redakteur nicht nur an seine Anzeigenkunden denkt.
+4
ssb
ssb28.01.20 11:51
Da sollte ein Verfahren wegen GDPR in Kürze anrollen, die Strafen dürf(t)en schon schmerzhaft sein...
+1
Mia
Mia28.01.20 13:03
Geht gar nicht...
+1
Peter Eckel28.01.20 13:49
sunni
Stimmt, du hast recht. Im Grunde genommen machen das alle Internet Security Tools.
... was ein guter weiterer Grund ist, davon die Finger zu lassen. Wenn einem die anderen Gründe noch nicht reichen sollten.
Ceterum censeo librum facierum esse delendum.
0
Tago28.01.20 13:56
Wer Schlangenöl anbietet, der verkauft auch ohne Skrupel Adressen weiter.
0
system7
system728.01.20 14:12
„Viel schlimmer finde ich ja, dass Avast den SSL-Traffic aufbrechen muss um den Inhalt zu lesen. Internet Security, my ass!“

Was bedeutet „aufbrechen“?
0
Peter Eckel28.01.20 14:59
system7
Was bedeutet „aufbrechen“?
Vereinfacht dargestellt: Normalerweise besteht eine verschlüsselte Verbindung aus zwei Seiten, einem Server (z.B. dem Online-Banking-Portal) und einem Client (dem Browser). Die beiden kommunizieren direkt miteinander, wobei die Verschlüsselung und die Identität des Servers dem Client gegenüber mit Hilfe eines Zertifikats, das zum Banking-Portal gehört, sichergestellt werden. Dem Zertifikat muß der Client vertrauen - das wird mit Hilfe einer Signatur erreicht, die von sogenannten CAs (Certificate Authorities, also Zertifizierungsstellen) erstellt wird, denen der Browser bzw. das Betriebssystem auf Client-Seite vertraut.

Der Server zeigt Dir also sein Zertifikat, das seine Identität bestätigt und den öffentlichen Schlüssel für den Verbindungsaufbau enthält, und das Dein Browser anhand der Signatur verifizieren kann.

Die "Sicherheitssoftware" nun hängt sich als man-in-the-middle dazwischen: Sie fängt die verschlüsselte Verbindung ab, entschlüsselt den Netzwerkverkehr, tut damit, was sie zu tun vorgibt (und, wie sich zeigt, mitunter auch ein bißchen mehr), und verschlüsselt die Verbindung zum Server dann wieder.

Der Haken dabei ist das Zertifikat: Wenn Dein Browser mit der "Sicherheitssoftware" spricht, während er die Verbindung zum eigentlichen Server aufbauen will, dann hat die natürlich nicht den passenden privaten Schlüssel - den hat nur der Server. Also installiert sie ein eigenes Zertifikat für beliebige Server (ein sogenanntes "Wildcard-Zertifikat") in Deinem System oder Deinem Browser, so daß Du ihr vertraust, und baut dann ihrerseits die richtige verschüsselte Verbindung auf.

Dieses Vorgehen hat drei Haken: Zum einen ist das besagte Wildcard-Zertifikat natürlich ein Problem, weil es Dir die Kontrollmöglichkeit darüber nimmt, mit wem Du redest. Normalerweise kannst Du das z.B. anhand des kleinen Schloß-Icons in der Adreßzeile des Browsers verifizieren, das ist bei Installation einer "Sicherheitssoftware" aber wertlos.

Zum anderen hast Du keine Kontrolle darüber, wem ihrerseits die "Sicherheitssoftware" vertraut. Es sind durchaus Fälle aufgetreten, in denen solche Lösungen willenlos alle Zertifikate akzeptiert haben, die ihnen vorgelegt wurden - auch offenkundig gefälschte oder selbstsignierte. Dann sprichst Du ggf. mit einem Betrüger, Phischer oder sonst einem Halunken, ohne daß Du es merken könntest.

Und zum dritten, und darum geht es im vorliegenden Fall, hast Du halt keine Kontrolle darüber, was die "Sicherheitssoftware" mit den entschlüsselten Daten macht. Wie sich zeigt, ist auch das nicht (nur) unbedingt das, was sie zu tun vorgibt.

Ergo: Finger weg von Schlangenöl.
Ceterum censeo librum facierum esse delendum.
+6
Scrubelicious28.01.20 16:26
Sag da nur Avast! lol
Don't believe everything on the internet!
-1
system7
system728.01.20 17:20
Vielen Dank für die ausführliche Erklärung. Ich hatte Bedenken in diese Richtung schon einmal in ähnlicher Weise bei VPN-Anbietern. Also dass gerade diejenigen, denen man aus Sicherheitsgründen vertrauen will, ein Risiko sein können.
0
Peter Eckel28.01.20 18:32
system7
Vielen Dank für die ausführliche Erklärung. Ich hatte Bedenken in diese Richtung schon einmal in ähnlicher Weise bei VPN-Anbietern. Also dass gerade diejenigen, denen man aus Sicherheitsgründen vertrauen will, ein Risiko sein können.
Das stimmt ja auch, wenn auch nicht primär aus Sicherheitsgründen.

Wenn Du z.B. aus einem Hotel-WLAN die Verbindung zum Internet über ein VPN aufbaust, hast Du damit schon mal den Vorteil, daß Deine Daten nicht teilweise unverschlüsselt über das WLAN gehen, und daß der WLAN-Betreiber nicht mitlesen kann, was Du da so treibst. Zwar sind die meisten Mail- oder Web-Server mittlerweile ihrerseits verschlüsselt (der WLAN-Betreiber kommt also nicht an die Inhalte), aber DNS und andere Dienste arbeiten ohne Verschlüsselung, und damit bekommt der Betreiber zumindest mal Metadaten.

Den Vorteil erkaufst Du aber damit, daß dann eben der VPN-Betreiber diese Daten bekommt. Ob das jetzt besser ist, ist eine Frage des Vertrauens - einem seriösen VPN-Betreiber würde ich noch eher zutrauen, verantwortungsvoll mit so gewonnenen Daten umzugehen (oder, besser, sie erst gar nicht zu speichern), als einem Feld-, Wald- und Wiesen-Hotel-WLAN-Betreiber. Nur: Datenschutztechnisch ist so in summa nichts gewonnen.

Ein wenig besser sieht es aus, wenn Du Dein VPN selbst betreibst. Dann ist die Privatsphäre, die Du damit gewinnst, ziemlich genau die gleiche wie die, die Du daheim genießt. Das ist auch nicht perfekt - wenn Du z.B. den DNS-Server des Providers nutzt (die meisten tun das standardmäßig), dann hat der Provider halt die Metadaten, also z.B. welche Webseiten Du besuchst und so weiter.

Deutlich besser ist die Situation bei der Nutzung von Tor. DNS-Requests, verschlüsselte und unverschlüsselte Verbindungen etc. laufen dann über das Tor-Netzwerk, das die Daten mehrfach ineinandergeschachtelt verschlüsselt und um drei Ecken herum routet und damit Absender und Empfänger verschleiert. Auch da ist der Schutz nicht zwingend perfekt.

Böswillige Exit-Nodes (die dritte Stufe des Routings) können zumindest unverschlüsselte Verbindungen mitlesen und ggf. Rückschlüsse auf den Absender ziehen (den Empfänger kennen sie ja), und man kann sich auch prima z.B. bei den Browsereinstellungen in den Fuß schießen (Javascript z.B. ist mit großer Vorsicht zu genießen, wenn man auf Anonymität Wert legt). Aber richtig benutzt - dazu gibt es ausführliche Ratschläge auf den Seiten des Tor-Projekts - kann Tor schon ein für den Normalgebrauch mehr als ausreichendes Maß an Privatsphäre gewährleisten.
Ceterum censeo librum facierum esse delendum.
+1
Kapeike
Kapeike28.01.20 19:51
Mal abgesehen davon, dass das gar nicht geht, was Avast da veranstaltet, möchte ich mal fragen, wie ich das rein praktisch erkenne, ob mir die Daten abgegriffen werden oder nicht. Ich setze nämlich - noch - Avast ein. Der Artikel spricht ja von einem Opt-In, das mir vom Installl allerdings nicht in Erinnerung ist.

Also habe ich mal die Einstellungen durchsucht und bin auf diesen Punkt hier gestoßen:



Der untere wird wohl der Übeltäter sein. Was sagt ihr? Könnte man noch irgendwo erkennen, ob es denen sogar egal ist, ob der Haken sitzt oder nicht? Dass also trotz deaktivierter Option Daten weitergegeben werden? Auch das ist ja nicht auszuschließen...
0
Stollentroll
Stollentroll28.01.20 19:55
Peter Eckel
system7
Was bedeutet „aufbrechen“?

Sorry, dass ich das Thema etwas verfremde, es hat aber ebenfalls mit dem "Aufbrechen" einer verschlüsselten https-Verbindung zu tun.

Hin und wieder wird ja die Software AdGuard für "spezielle Features" empfohlen. Nun wird da ja auch eine https-Verbindungen mithilfe eines eigenen CA Zertifikates aufgeweicht, damit es reingucken kann und seine Dienste tut… Klar, man kann Ausnahmen definieren, doch wenn ich (mit leider nur amateurhaftem Knowledge) bei LittleSnitch sehe, was dennoch für Verbindungen stattfinden, wird mir etwas mulmig. Wie steht ihr dazu?

ps. Ich glaube es wird Zeit… Safari, es war sehr schön, au revoir…
+1
Peter Eckel28.01.20 20:02
Stollentroll
Hin und wieder wird ja die Software AdGuard für "spezielle Features" empfohlen.
Also von mir sicher nicht. Genau deswegen.
Stollentroll
Nun wird da ja auch eine https-Verbindungen mithilfe eines eigenen CA Zertifikates aufgeweicht, damit es reingucken kann und seine Dienste tut…
Ganz allgemein und über einen Kamm geschoren: Was ein eigenes CA-Zertifikat installiert, fliegt raus und ist lebenslang geächtet.
Stollentroll
ps. Ich glaube es wird Zeit… Safari, es war sehr schön, au revoir…
Das hat was genau mit Safari zu tun? Verstehe ich jetzt nicht ...
Ceterum censeo librum facierum esse delendum.
0
Stollentroll
Stollentroll28.01.20 20:16
Peter Eckel
Das hat was genau mit Safari zu tun? Verstehe ich jetzt nicht ...

Naja, für Firefox benötige ich das Tool halt nicht…
+1
teorema67
teorema6728.01.20 20:18
rosss
... Ich hatte Avast schon mal vor Jahren in einer Windows-VM installiert. ...
Den Defender gibt es schon lange und er funktionierte auch vor vielen Jahren schon gut (dass er schlecht sei, wurde und wird von den Antivirusherstellern propagiert). Gerade bei Win ist für den normalen User die Installation einer 3rd party Sicherheitssoftware unnötig.
Ich möchte nicht, dass jemand vor mir Katzenbilder ins Internet stellt (Glenn Quagmire)
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.