NEWS

L'antivirus Avira sbandiera il rispetto della privacy ma condivide i dati degli utenti con Google e Facebook? le spiegazioni della società tedesca

Con buona parte delle informazioni sulla nostra vita quotidiana che ormai passano dallo smartphone, installarvi un efficace antivirus è una buona prassi raccomandata dagli esperti per tenere al sicuro i dati e tutelare la propria privacy, sia che usiamo il dispositivo elettronico per finalità personali che per svolgere le attività lavorative. Quando si deve installare un antivirus, è perciò fondamentale che ne scegliamo uno di cui sappiamo di poterci fidare.

Pochi mesi fa Avast era stato accusato di violare la privacy, adesso è Avira sotto la lente

Appena pochi mesi fa, a mettere in dubbio la fiducia degli utenti sull’antivirus Avast riguardo la sicurezza dei dati e la tutela della privacy, era stata un'indagine di Vice e PCMag. E tali circostanze avrebbero potuto rappresentare per i vari player della cybersecurity il momento più opportuno per verificare se al proprio interno vi fossero lacune da correggere o vere e proprie non conformità al Gdpr.

Effettuando un'accurata analisi su Avira Security Antivirus nella versione 5.6.3 app per smartphone, scaricata da oltre 10 milioni di utenti nel Playstore di Google come edizione 2019, si leggeva una scritta evidenziata in modo apparentemente rassicurante che, oltre a proteggere il dispositivo dai malware, il software "protegge la tua privacy con VPN gratuita", e tra le principali caratteristiche dell'antivirus tedesco veniva specificato che, grazie a "Privacy Advisor vengono mostrate quali app richiedono l'accesso a dati sensibili".

Avira ha fatto della privacy una bandiera, ma a quanto pare non è proprio così rispettoso

Tuttavia, tale funzione, nella suddetta versione largamente diffusa fino a pochi mesi fa, indicava curiosamente come a "rischio elevato" molte delle app di uso più comune come Excel e Word di Microsoft, Adobe Acrobat, Telegram, Skype for Business ed altre, mentre valutava inaspettatamente come "a rischio basso" molte app di sviluppatori sconosciuti su cui vi sono invece forti dubbi sulla sicurezza e sul rispetto della privacy degli utenti. Un particolare interessante alla luce di quello che è successivamente emerso dall’analisi dell’app di Avira, è che questa ometteva in modo del tutto autoreferenziale di segnalare sé stessa riguardo alle autorizzazioni di accesso ai dati personali che richiede.

Da una scansione effettuata con lo strumento Exodus Privacy sulle funzionalità per la comunicazione di dati all'esterno da parte dell'app di Avira, emerge infatti che essa "chiedeva" una lunga serie di 42 permessi, ed installava ben 15 tracker di terze parti noti per la profilazione di comportamenti online, preferenze e gusti dell'utente, condividendo le informazioni con noti giganti del web come Facebook e Google, e anche con varie agenzie pubblicitarie. (Nota: si veda il rapporto di Exodus Privacy aggiornato il Giovedì 25 Giugno 2020 alle ore 00:41, ovvero tre giorni dopo la pubblicazione di questo articolo)

Dall'analisi risulta che Avira "chiede" 42 permessi ed installa ben 15 tracker di terze parti(Dall'analisi di Federprivacy risulta che Avira 5.6.3 aveva ben 15 tracker di terze parti "chiedendo" 42 permessi )

Nella versione 5.6.3 di Avira, nella lunga lista dei codici di firma che sono stati rilevati durante l'analisi della app risultavano perlopiù tracker finalizzati all'analisi dei comportamenti online degli utenti, tra cui Adjust, Facebook Ads, Facebook Analytics, Facebook Places, Facebook Stare, Flurry, Google Ads, DoubleClick, Mix Panel, e InMobi, quest'ultima con sede in India, paese considerato non troppo sicuro ai sensi della normativa sulla protezione dei dati personali. C'è quindi un bel po' da fare per chi volesse sbizzarrirsi nel ricostruire quali dati vengono acquisiti, cosa ci viene fatto, e dove vengono inviati.

Anche per quanto riguarda le oltre 40 richieste di permessi rilevati, Avira presentava potenziali autorizzazioni che di addicono più a uno spyware che ad un antivirus, come l'accesso al microfono del telefonino per la funzione di registrazione vocale, la localizzazione Gps del dispositivo, l'accesso ai contatti presenti in rubrica, al registro delle telefonate effettuate e ricevute, all'acquisizione di foto e video tramite la telecamera, e anche la modifica e l'eliminazione dei contenuti della scheda di memoria SD.

Preso atto dell'invasività che presentava l'antivirus tedesco nei dispositivi degli utenti, se si andava poi a frugare nelle impostazioni delle autorizzazioni si trovava addirittura una casella già preselezionata in modo non proprio rispettoso del principio di “privacy by default” previsto dal Gdpr che autorizza automaticamente la somministrazione di annunci pubblicitari mirati in base ai gusti e alle preferenze dell'interessato visualizzabili anche sullo stesso dispositivo. Ma anche se in tale versione si interveniva per disattivare manualmente questa funzione selezionando l'opzione "annunci pubblicitari generici", è pur vero che la pubblicità proposta diventava generica, ma d’altra parte il tracker rimaneva presente nel codice sorgente della app, e non si aveva alcuna certezza che esso cessasse effettivamente le attività di profilazione.

Nelle impostazioni della app di Avira si trova una casella già preselezionata per ricevere annunci pubblicitari mirati

Nelle impostazioni della app di Avira 5.6.3 si trovava una casella già preselezionata per ricevere annunci pubblicitari mirati

A prescindere dal fatto che quanto riscontrato riguardasse solo versioni gratuite o anche quelle a pagamento, oppure che nel frattempo queste criticità siano stati corrette da Avira nelle versioni più recenti,  sta di fatto che i risultati scaturiti dall’analisi sulla app Avira 5.6.3 non sono proprio quelli che ci si aspetterebbe da una rinomata società come quella tedesca, la quale addita pure le lacune dei propri competitor per vantarsi sulle proprie presunte virtù in tema di privacy, affermando sul proprio sito che “non siete obbligati a scegliere Avast e AVG. Esistono un’infinità di strumenti e applicazioni che mantengono pulito il PC, vi proteggono durante la navigazione e rendono più sicuri gli acquisti grazie al blocco di URL e tracker. Una di queste è Avira Free Security. A proposito: con il nostro programma potete essere assolutamente sicuri che la vostra sfera privata non verrà violata, perché noi non raccogliamo né vendiamo i vostri dati.

Attesi per otto giorni i chiarimenti e le giustificazioni da parte della stessa società tedesca, in data 30 giugno 2020 la società Avira ha infine inviato a Federprivacy una dichiarazione per contestare molte affermazioni fatte nello stesso, che purtroppo possiamo condividere solo in parte, ma che per correttezza provvediamo a mettere a disposizione della comunità di utenti e addetti ai lavori affinchè ciascuno possa trarne le proprie conclusioni.

Riguardo allo strumento da noi utilizzato per analizzare l'antivirus, desta peraltro perplessità che Avira affermi che Exodus Privacy "non fornisce informazioni dettagliate sulla nostra applicazione, ma si limita a scansionare il codice nell'APK senza verificarne l'utilizzo", omettendo di giustificare i motivi della presenza di tali codici dei tracker che vengono rilevati. Ci sorprende inoltre che, nella copiosa documentazione che ci ha inviato, Avira non fornisca minimamente spiegazione in merito alla condivisione dei dati con Facebook e con Google.

Da parte nostra, ci rammarichiamo solo di aver scelto Avira come antivirus utilizzato dai membri dello staff di Federprivacy, a maggior ragione del fatto che sui dispositivi mobili dei nostri addetti è stata finora installata proprio la versione 5.6.3 di cui si tratta in questo articolo, e noi ci teniamo per davvero a proteggeri i nostri dati.

Per questo, poco importa se nel frattempo la stessa Avira è corsa ai ripari risolvendo le criticità e adeguandosi al Gdpr, per cui procederemo a disintallare questo antivirus per rivolgerci ad un altro fornitore che riterremo più degno della nostra fiducia. 

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Garante Privacy: lo scorso anno 1443 data breach notificati, 147 ispezioni e 232 provvedimenti
Next Alla sentenza per diffamazione deve seguire la deindicizzazione dal motore di ricerca

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy