Mozilla ha dei sospetti su alcuni add-on che fino a ieri erano disponibili per il browser Firefox: Avast Online Security, AVG Online Security, Avast SafePrice e Avg SafePrice sono i nomi degli incriminati. Quattro estensioni tutte riconducibili alla stessa società (Avast Software, da qualche anno proprietaria di entrambi i marchi), due delle quali promettono di rendere più sicura l’attività di navigazione Internet, e due impegnate a fornire comparazioni di prezzo su articoli dei siti di e-commerce.
Come spesso accade con i software antivirus, queste estensioni vengono proposte in bundle nel momento dell’installazione e, a meno che l’utente tolga la spunta, vengono anch’esse installate, comparendo da quel momento all’interno del browser. I due add-on di sicurezza, Avast Online Security e Avg Online Security, mettono in guardia l’internauta dai tentativi di phishing, da truffe di altro genere e dai siti Web malevoli, mentre Avast SafePrice e Avg SafePrice avvisano l’utente quando visita un sito di e-commerce nel caso il medesimo articolo sia disponibile altrove a un prezzo inferiore.
Dov’è il problema? A detta di un ricercatore di sicurezza, Wladimir Palant, quattro add-on spiano gli utenti raccogliendo grandi quantità di dati di tracciamento della navigazione: Url visitati, titoli delle pagine Web, referer, versioni del sistema operativo in uso, codice del Paese d’origine dell’utente, precedenti visite in una data pagina e altro ancora. Quanto basta per sospettare, se non altro, che Avast Software sia in grado di ricostruire le abitudini di navigazione degli utenti e anche per identificarli in modo univoco.
Il ricercatore ammette che l’azienda ha una privacy policy, esplicitata sul proprio sito Web e all’interno delle procedure di installazione dei vari software, ma la formulazione è abbastanza vaga da lasciar capire poco su quali dati, effettivamente, vengano memorizzati e analizzati. Nella policy si afferma che “potrebbe accadere” che vengano raccolti dati sul dispositivo in uso, sul sistema operativo, su alcune impostazioni, sui codici identificativi dei software, ma anche indirizzi IP, geolocalizzazione, cookie, dati sulla rete.
Avast assicura comunque di “raccogliere e conservare solo i dati di cui abbiamo bisogno per fornire funzionalità, monitorare il prodotto e le prestazioni del servizio, condurre ricerche, fare diagnosi e riparazioni di cash, trovare bug e risolvere vulnerabilità”. A detta di Palant, invece, le cose non starebbero esattamente così. Le due estensioni di sicurezza raccoglierebbero dati personali degli utenti in modo estensivo, ben al di là di quanto necessario per il funzionamento del servizio. Ed è evidente la sproporzione rispetto ai dati raccolti da servizi analoghi, come per esempio Google Safe Browsing. Le policy di Avast, inoltre, non specificano le tempistiche dell’eventuale cancellazione dei dati raccolti.
Il ricercatore ha contattato Mozilla per segnalare le proprie conclusioni, che evidentemente sono bastate alla casa madre di Firefox per decidere di eliminare i quattro programmi incriminati dal portale delle estensioni del browser. Gli add-on restano invece disponibili, al momento, sul Chrome Web Store.