La notizia è di ieri e non è certo rassicurante, dato che parliamo di importantissimi vendor di soluzioni di sicurezza mondiali del calibro di AVAST e della sua sussidiaria AVG: alcune estensioni browser offerte dai due vendor, disponibili per Google Chrome e Mozilla Firefox, raccolgono un eccessivo numero e tipologia di dati sugli utenti, al punto da poter affermare che spiano gli utenti stessi.

Le estensioni incriminate sono:

• Avast Online Security
• AVG Online Security
• Avast SafePrice
• AVG SafePrice

Parliamo di estensioni che mostrano avvisi e bloccano la navigazione su siti sospetti o riconosciuti come dannosi (come le pagine di phishing), mentre le ultime due sono estensioni per lo shopping online: comparano prezzi, mostrano sconti, offerte e coupon. Molti potrebbero non ricordarsi di averle mai scaricate, perchè vengono installate automaticamente nel browser predefinito dagli antivirus AVG e AVAST al momento dell'installazione stessa.

La ricerca di Palant che inchioda Avast
Il creatore di AdBlock Plus Vladimir Palant ha iniziato ad analizzare Avast Online Security e AVG Online Security alla fine di Ottobre e ha scoperto come queste raccogliessero molti più dati di quelli davvero necessari per espletare le proprie funzioni: tra i dati raccolti, anche la cronologia dettagliata del browser, una pratica nettamente vietata dalle policy sia da Mozilla che di Google. Qualche giorno dopo sempre Palant ha fatto sapere, con un altro post, di aver individuato il medesimo problema anche con Avast SafePrice e AVG SafePrice.

Il report è disponibile qui >> Avast Online Security and Avast Secure Browser are spying on you. 

Quali dati sono inviati ad Avast?
> URL esteso della pagina che stai visitando,
> l'identificativo unico dell'utente (UID) generato dall'estensione per il tracciamento dell'utente;
> il titolo della pagina
> come si accede alla pagina (cliccando su un link, digitando direttamente l'indirizzo, usando i segnalibri impostati sul browser);
> un valore che indica se si era già vistata o meno quella data pagina;
> il codice della nazione dal quale si connette l'utente;
> il nome del browser e l'esatta versione in uso;
> il sistema operativo e il seriale.

"Il tab di tracciamento e gli identificatori di finestre e azioni consentono ad Avast di ricostruire piuttosto precisamente quasi tutto il comportamento di navigazione di un utente: quante schede ha aperto sul browser, quali siti ha visitato, quando e per quanto tempo, quanto tempo ha speso per leggere / vedere il contenuto di una pagina, cosa ha cliccato sulla pagina e quando è passato ad un'altra schda. Tutto questo viene corrisponde a precisi attributi che consentono ad Avast di riconoscere un utente in maniera inequivocabile, al punto da prevedere un identificatore univoco per ogni utente" afferma Palant nel suo report.

Mozilla ha preso, per adesso, la decisione più drastica rispetto a questa vicenda: ha deciso di rimuovere queste estensioni dal proprio portale degli add-on. La motivazione è semplice e stringata "questi add-on violano le policy di Mozilla sulla raccolta dati senza consenso dell'utente e senza che questo ne sia a conoscenza". Mozilla non ha però inserito queste estensioni in blacklist, il che significa che finché l'utente non provvederà alla disinstallazione, queste continueranno a funzionare e a raccogliere dati. Queste estensioni restano invece ancora disponibili nel Chrome Web Store, nonostante Palant abbia provveduto a segnalare il problema anche a Google.