Dois navegadores retiraram as extensões de segurança online do Avast e do AVG de suas lojas web depois que um relatório revelou que elas estavam coletando desnecessariamente dados sobre o histórico de navegação dos usuários.

Wladimir Palant, o criador do Adblock Plus, apontou inicialmente o problema – que inclui as extensões Avast Online Security e Avast SafePrice, bem como a AVG Online Security e AVG SafePrice, de propriedade da Avast – em uma postagem de blog em outubro. Mas, esta semana, ele sinalizou o problema para as próprias empresas. Em resposta, a Mozilla e o Opera tiraram as extensões de suas lojas. No entanto, até quarta-feira (4), curiosamente elas ainda permaneciam na loja do Google.



Usando ferramentas de desenvolvimento para examinar o tráfego de rede, Palant conseguiu determinar que as extensões estavam coletando uma quantidade alarmante de dados sobre o histórico e a atividade de navegação dos usuários, incluindo URLs, de onde navegaram, se a página foi visitada no passado, a versão do navegador que a pessoa estava está usando, código do país e, se o Avast Antivirus estiver instalado, a versão do sistema operacional do dispositivo, entre outras informações. Palant argumentou que a coleta de dados excedia em muito o necessário para as extensões realizarem suas tarefas básicas.

No momento da postagem original de Palant, a política de privacidade da empresa parecia mencionar essa coleta de dados, mas isso aparentemente desapareceu do texto. No entanto, de acordo com uma versão da página arquivada na Wayback Machine em 4 de novembro, o trecho dizia:

Podemos coletar informações sobre o computador ou dispositivo que você está usando, nossos produtos e serviços em execução e, dependendo do tipo de dispositivo, quais sistemas operacionais você está usando, configurações de dispositivo, identificadores de aplicativo (AI), identificadores de hardware ou identificadores universalmente exclusivos (UUID), identificadores de software, endereço IP, dados de localização, IDs de cookies e dados de falhas (através do uso de nossas próprias ferramentas analíticas ou serviços fornecidos por terceiros, como Crashlytics ou Firebase). Os dados do dispositivo e da rede estão conectados ao GUID de instalação.

Coletamos dados de dispositivos e de rede de todos os usuários. Coletamos e retemos apenas os dados necessários para fornecer funcionalidade, monitorar o desempenho de produtos e serviços, realizar pesquisas, diagnosticar e reparar falhas, detectar bugs e corrigir vulnerabilidades em segurança ou operações (em outras palavras, cumprir nosso contrato com você para fornecer o serviço). 

Embora a empresa tenha admitido coletar esses dados nesta iteração de sua política de privacidade, ela não especificou por quanto tempo eles foram armazenados em qualquer uma das versões. Um porta-voz da Avast não respondeu a um pedido de comentário sobre quanto tempo a empresa armazena os dados coletados do usuário, ou porque o texto em sua política de privacidade foi alterado. De qualquer forma, como observou Palant, “Espionar seus usuários é claramente uma violação dos termos que o Google e a Mozilla fazem os desenvolvedores de extensões assinarem”. A Mozilla disse isso quando procurada para comentar.

“Quando a Mozilla toma conhecimento de problemas que tornam as extensões incompatíveis com suas políticas de add-on, ela pode removê-las do addons.mozilla.org”, disse um porta-voz ao Gizmodo por email.

O Opera não respondeu imediatamente ao nosso pedido de comentário, mas disse a Palant que as extensões foram removidas de sua própria loja. Não está claro por que eles permaneceram na loja de extensões do Google Chrome, e um porta-voz do Google não respondeu imediatamente a um pedido de comentário.

A assessoria de imprensa da Avast no Brasil enviou ao Gizmodo Brasil o posicionamento global da empresa em inglês. Traduzimos o texto abaixo:

Oferecemos nossas extensões de navegador Avast Online Security e SafePrice por muitos anos por meio da loja da Mozilla, bem como da loja do Opera. Estamos em contato com eles para fazer os ajustes necessários em nossas extensões para que estejam alinhadas aos novos requisitos. A extensão Avast Online Security é uma ferramenta de segurança que protege usuários online, inclusive de sites infectados e ataques de phishing. É necessário que este serviço colete o histórico da URL para fornecer a funcionalidade esperada. O Avast faz isso sem coletar ou armazenar a identificação de um usuário. Já implementamos alguns dos novos requisitos e lançaremos outras versões atualizadas que sejam totalmente compatíveis e transparentes de acordo com os novos requisitos. Elas estarão disponíveis como de costume nas lojas em um futuro próximo.

O que está claro, no entanto, é que, embora existam acordos para impedir que spywares ou extensões ruins cheguem às lojas do Chrome ou Firefox, essas proteções falham ocasionalmente. Por fim, a responsabilidade geralmente recai sobre usuários para manterem seus dados seguros.