AV-Test: Какие данные собирают антивирусы

2016-09-22 | Автор | комментарии
Эксперты по работе с информацией из AV-Test решили исследовать политики конфиденциальности популярных антивирусов. Ознакомившись с результатами проведенного анализа, у вас могут возникнуть сомнения, стоит ли так слепо доверять вендорам

AV-Test: Какие данные собирают антивирусы

Как часто обычные пользователи читают длинные и непонятные лицензионные соглашения и политики конфиденциальности, когда они покупают или устанавливают программное обеспечение? Особенно когда речь идет об антивирусном ПО. В конце концов, эти программы обещают не только защиту от атак, но и улучшение приватности личных данных.

Эксперты по работе с информацией из AV-Test решили исследовать политики конфиденциальности популярных решений. Ознакомившись с результатами проведенного анализа у вас могут возникнуть сомнения, стоит ли так слепо доверять вендорам.

Комплексная защита требует комплексного доступа к данным

Все производители антивирусов продвигают свои продукты с рекламными слоганами “Защита персональных данных и приватности” или “Защита личности”. Современный уровень угроз привел к тому, что комплексные антивирусы Internet Security эволюционировали из решений для защиты от вирусов, поставляемых с фаерволами в сложные продукты для всесторонней защиты. В текущих реалиях недостаточно защиты от вредоносных атак и хакеров. Под прицелом злоумышленников теперь учетные записи на сайтах и профили в социальных сетях, которые должны быть надежно защищены от фишинг-атак. Кроме того, рекламные организации используют агрессивные тактики для отслеживания пользовательского поведения, в частности отслеживание активности в сети, перехват данных о конфигурации устройства и сбор других персональных данных (с помощью ПНП).

Вот почему сейчас хороший антивирусный продукт должен не только успешно противостоять атакам, но и эффективно предотвращать нежелательную передачу данных. Для того, чтобы сделать это, антивирус должен получить обширный доступ к защищаемой системе и следовательно - к персональным данным пользователя. В свете ощутимой угрозы, пользователи не имеют другого выбора и позволяют продуктам исследовать систему и сохраненные в ней данные. Тем не менее, такое разрешение нужно давать только при условии, что эти привилегии будут использоваться для обнаружения и пресечения потенциальных угроз.

Более 50 процентов пользователей не интересует лицензионное соглашение

Как и в случае с другими программами, установка антивируса начинает с принятия соглашения об использовании продукта и политики конфиденциальности. Только после этого шага программу можно установить и использовать. С этого момента гарантии безопасности данных, предоставляемые производителем, вступают в силу. Согласно исследованию, проведенному Немецким Федеральным союзом потребителей (Verbraucherzentrale Bundesverband) в 2014 году, 53 процента опрошенных всегда соглашаются с условиями использования продукта, даже не читая его. Если рассматривать программы, которые по рекламным заявлениям защищают данные, процент пользователей, автоматически нажимающих кнопку “Принять” вероятно будет еще больше. После этого пользователи хотят от вендоров, чтобы они соблюдали обещания, обозначенные в рекламе, и защитили персональные данные.

Проведена оценка 26 комплексных антивирусов

Лаборатория AV-Test провела тщательный анализ англоязычных политик конфиденциальности 26 антивирусных программ и предоставляет комплексную оценку ситуации на рынке. На самом деле только 24 документа было проанализировано, потому что два антивируса вообще не включают какую-либо политику конфиденциальности - ни на сайте производителя, ни при установке программы.

Политика конфиденциальности AVG

Политика конфиденциальности AVG содержит четкую информацию, какие данные собираются

Политика конфиденциальности McAfee (Intel Security)

Многие компании оставляют за собой право передачи пользовательских данных третьим компаниям. Лишь некоторые открыто заявляют об этом - наглядный пример McAfee (Intel Security)

Исследование ставило перед собой задачу ответить на вопрос, какие уровни доступа к пользовательской информации допускают производители продуктов в политике конфиденциальности. В частности, оценка была сделана с целью выяснения:

  • типа данных, которые будут подвергнуты обработке
  • какие права разрешены для использования данных
  • какие права распространяются на пользователей, например, при предотвращении, ограничении или информировании о сборе данных.

Изучив большой объем юридической документации, эксперты провели различия между собираемыми типами данных. Многие вендоры запрашивают доступ к данным о самих пользователей, в частности активность на защищаемом устройстве, а также информация о самом устройстве. Определение самого факта передачи этих данных не являлось целью исследования. Эти и другие вопросы требуют разъяснения в непосредственной беседе с компаниями-разработчиками.

Больше данных, чем необходимо

Практически в каждой исследованной политике конфиденциальности, производитель предполагает большое количество прав доступа, которые не должны быть обязательными при использовании антивирусного продукта. Вместо этого, по заявлениям вендоров, эта информация используется для целей оптимизации продукта, а также для коррекции маркетинговой кампании разработчика и компаний-партнеров. В каждом из проанализированных документов производитель оставляет за собой право передавать собранные данные сторонним компаниям.

В большинстве случае среди собираемых данных значатся имя пользователя, адрес электронной почты и платежные данные. Также вендорам интересны дополнительные контактные данные, включая телефонные номера. Данная информация наверняка используется для навязывания дополнительных продуктов и услуг пользователю, но они не используются при работе антивируса. Помимо всего прочего, доказательством этого может служить тот факт, что эти данные собирают абсолютно все компании-разработчики.

Сексуальные предпочтения и отпечатки пальцев

Некоторые производители позволяют себе слишком многое. По результатам анализа AV-Test выяснилось, что некоторые производители получают доступ к биометрическим данным, сохраненным на компьютере. Тестеры были в недоумении, когда обнаружили, что антивирусная программа запрашивает доступ к цифровым отпечаткам. Очень сложно объяснить, как может помочь в работе антивируса информация о поле пользователя, его деятельности, расы или сексуальной ориентации. Возможно здесь замешаны предприимчивые специалисты по маркетингу.

Пользователи под наблюдением

Более того, если рассматривать отслеживание пользовательского поведения, то многие вендоры щедро помогают себе в этом вопросе - 15 из 24 производителей требуют доступ к истории просмотров в браузере своих пользователей. Шесть продуктов запрашивают доступ к истории поисковых запросов. Пять компаний оставляют за собой право проверить электронную почту. Только два вендора предполагают возможность получить доступ к адресной книге. Более того, производители антивирусного ПО также заинтересованы в получении данных активности пользователя в социальных сетях. Одна из компаний-разработчиков оставляет за собой возможность публиковать записи от имени пользователя. Некоторые другие продукты пытаются участвовать в сессиях чата или хотя бы получать доступ к истории переписки.

Полный контроль над устройством

Самым простым объяснением столь обширного сбора данных об устройстве может стать защита информации на устройстве и установленных на нем приложений. В конце концов, это компетенция антивируса - блокировать вредоносные программы, которые маскируются под легитимные приложения и пытаются получить доступ к данным. Именно поэтому вендоры запрашивают базовую информацию: IP-адрес, идентификатор устройства, операционная система, установленные приложения. Хотя надо признать, далеко не все из них захватывают эти данные, зато встречаются некоторые нестандартные запросы: обнаружение GPS координат (5 разработчиков), позиционирование WLAN (4 разработчика). Впрочем, это тоже можно объяснить работой функции защиты от кражи. Тем не менее, пользователи должны иметь в виду, что за дополнительную защиту устройства они расплачиваются отслеживанием собственных передвижений.

В 10 из 24 проанализированных политиках, производители зарезервировали право компилировать “пользовательскую статистику”. Точно неясно, какие данные имеются в виду: использование антивирусной программы, использование устройства или коллекция совершенно разных данных. В данной области, как и во многих других разделах, терминология соглашений является крайне расплывчатой.

Защита данных предусматривает четкое понимание и максимальную прозрачность

Тот факт, что многие пользователи игнорируют ознакомление с общими условиями и политикой конфиденциальности не является удивительным. С одной стороны, пользователи могут быть перегружены огромным объемом соглашения. Средняя длина протестированных политик конфиденциальности - 12 страниц. Более того, во многих случаях их внешний вид как бы намекает, что производитель не заинтересован в понимании содержания соглашения.

Защита данных предусматривает четкое понимание и максимальную прозрачность

Слишком длинные предложения, сложный набор слов: тест читабельности текста с использованием сервиса webpagefx.com демонстрирует, что многие политики конфиденциальности очень трудны для понимания обычными потребителями

Дополнительный тест читаемости текста и использованием соответствующих аналитических программ показал, что многие политики конфиденциальности являются слишком сложными. Другими словами, соглашения непонятны для обычного пользователя. Длинные предложения и обилие технических терминов только усложняют понимание такого обширного объема информации.

Кроме того, большинство разработчиков не могут однозначно ответить на вопрос условий и продолжительности хранения данных. Где храниться пользовательская информация? Как долго будут храниться эти данные? Какие данные передаются сторонним организациям, и что это за партнеры? Многие производители продуктов безопасности не смогли предоставить удовлетворительный ответ на эти вопросы в своих политиках конфиденциальности.

Меньше - больше

Международная ассоциация профессионалов в области конфиденциальности как раз работает для того, чтобы авторы политик конфиденциальности придерживались принципов краткости и понятности. В Германии по результатам национального IT-саммита эти вопросы будет также регулировать Федеральное министерство юстиций и защиты прав потребителей. Министерство уже успело представить шаблон-образец компактной и простой в понимании политики конфиденциальности.

Вопросами читабельности и структурированности политик занимается отдельная организация IAPP- международная ассоциация профессионалов в области конфиденциальности.

Кроме того, производители антивирусных программ, которые обещают защиту конфиденциальности своих пользователей, могут рекламировать себя через “экономию данных”. С одной стороны, основная концепция уклонения от сбора данных идет рука об руку с основным принципом права на защиту данных. С другой стороны, производители могут также использовать в рекламных целях тот факт, что они собирают необходимый минимум информации.

Меньше данных, больше защиты

Комментарий эксперта

Анетт Хоппе, эксперт по IT-безопасности в AV-Test

Анетт Хоппе, эксперт по IT-безопасности в AV-Test Большинство разработчиков антивирусных программ пренебрегают доверием пользователей и имеют глубокий доступ к пользовательской системе и данным. Анетт Хоппе, эксперт по IT-безопасности в AV-Test, считает, что они должны осуществлять эту деятельность в рамках прозрачной политики конфиденциальности.

Многие пользователи предполагают, что антивирусы не только гарантируют безопасность пользователя, но и безопасность данных? Так ли это на самом деле?

Ранее мы не проводили исследование по этому вопросу. Однако, в AV-Test мы регулярно получаем запросы от пользователей, которые обеспокоены подозрительными сообщениями электронной почты или сомнительными функциями программы. В основном такие запросы поступают от компаний и государственных учреждений, но в последнее время увеличилось количество запросов от обычных пользователей, которые беспокоятся о конфиденциальности своих данных. Как показывают наши исследования, большинство производителей антивирусных программ пренебрегают доверием пользователей и имеют часто необоснованный доступ к пользовательским данным.

Какие данные собираются и что с ними происходит?

Некоторые собираемые данные необходимы для того, чтобы антивирусы выполняли свои прямые задачи. Для сравнения, очень сложно обосновать необходимость обработки пола пользователя и даты его рождения. Очень важно различать данные, который производитель получает согласно политики конфиденциальности и данные, которые собираются фактически. Наше исследование проливает свет на права, запрашиваемые компаниями-разработчиками у потребителей.

Каким формулировкам в политике конфиденциальности нужно уделить внимание и какие критерии можно использовать в качестве руководства?

Прежде всего, рекомендуется помнить о проблемах защиты данных при регистрации и настройке продукта. Все начинается с указания информации о пользователя во время установки - обычно не все поля формы регистрации являются обязательными для заполнения, и многие пользователи заполняют их по привычке. Более того, пользователи должны как минимум бегло просмотреть политику конфиденциальности. Только ознакомившись с условиями соглашения, пользователь может узнать, будут ли его контакты и фотографии отправляться на сервер вендора.

По материалам AV-Test

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества