Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla verwijdert Firefox-extensies Avast en AVG van add-on-portal na klachten

Mozilla heeft vier extensies van Avast en dochteronderneming AVG verwijderd van zijn webpagina waar add-ons voor Firefox te vinden zijn. De browsermaker doet dat vanwege verdenkingen dat de extensies gegevens en browsegeschiedenis van gebruikers doorsturen.

Het gaat om de extensies Avast Online Security, AVG Online Security, Avast SafePrice en AVG SafePrice. Die zijn sinds dinsdag niet meer te vinden op addons.mozilla.org, meldt ZDNet. De extensies staan nog wel in de Chrome Web Store van Google.

Vorige maand publiceerde Wladimir Palant, de maker van AdBlock Plus, een blog waarin hij Avast en AVG beschuldigt van het bespioneren van gebruikers via de Online Security-extensies. Dinsdag volgde hij dat verhaal op met een nieuwe publicatie, waarin hij stelt dat de SafePrice-extensies voor het vergelijken van prijzen precies hetzelfde doen. De extensies zijn volgens Palant aan te merken als spyware.

Uit het onderzoek van Palant blijkt dat de extensies veel meer data verzamelen dan nodig is voor de werking. Die data wordt doorgestuurd naar servers van Avast. Het gaat onder andere om een gedetailleerde browserhistorie. Mozilla noch Google staat toe dat extensies dat doen.

Nadat Palant zijn blog in oktober had gepubliceerd, ondernamen de browsermakers nog geen actie. Maandag heeft hij een rapport ingediend tegen de extensies bij Mozilla, waarna die binnen 24 uur uit de portalsite voor add-ons zijn verwijderd. Volgens Palant zijn de extensies bij Google alleen te rapporteren met de 'report abuse'-functie, maar heeft dat nog niets opgeleverd. Google heeft in het verleden wel extensies verwijderd die ongeoorloofd de browsergeschiedenis van gebruikers doorsturen.

Door Julian Huijbregts

Nieuwsredacteur

03-12-2019 • 17:53

44 Linkedin Google+

Reacties (44)

Wijzig sortering
Soooo. Hoezo "ik verpest ik mijn image in een dag"?

Nooit meer Avast en Avg :/
Soooo. Hoezo "ik verpest ik mijn image in een dag"?
Nooit meer Avast en Avg :/
Zal ik hem nog even erger maken voor je?
Het moederbedrijf van Avast heeft een tijd terug het bedrijf Jumpshot overgenomen. Hun core-business is marketing analytics en andere Avast producten zoals de browser add-ons voeden dat platform al met geaggregeerde gegevens sinds 2015.

https://forum.avast.com/index.php?topic=171725.0

Die gegevens worden dus intern verwerkt; hopelijk afdoende geanonymiseerd, en vervolgens ordinair voor een prijs beschikbaar gesteld aan klanten van Jumpshot.

[Reactie gewijzigd door R4gnax op 3 december 2019 19:15]

Zo jammer. Ik vond het één van de betere, lees: weinig systeembelasting en de nag screens kon je uitzetten. Van de computers die hier op Windows draaien hebben allemaal standaard Windows Defender. Ik ben er wel klaar mee om veel geld uit te geven om voor een antivrus suite om daarna achter te komen dat het stikt van bedel berichtjes en dat Windows zo traag wordt als dikke stront door een te kleine trechter.
mmm... dat geeft de denken. Deze info heb ik ergens gemist maar het verklaart wel het een en ander aan het gedrag van avast dat ik de laatste tijd ervaar. Eigenlijk al sinds de 'fusie' van avast en avg zo ongeveer. tot die tijd was avast nog een rustige antivirus die braaf in de hoek haar werk deed.

Maar sinds het samengaan van avast en avg zie ik dat avast steeds iets meer aandacht vraagt. Begrijpelijk dat een gratis antivirus zich zo af en toe laat zien maar het zijn veel kleine beetjes. Extensies in de browser zijn voor antivirus wel verklaarbaar, dan kunnen ze immers ook de https stroom netjes verwerken juist voordat ze in de browser kwaad kunnen. Dat ze de gegevens 'naar huis' sturen is nog wel verklaarbaar voor extra controle en zo al zou dat niet blind altijd moeten.

Ooit was ik enthousiast avast gebruiker. Jaren geleden zelfs op android maar dat tijden niet meer. Sinds een paar jaar installeer ik het niet meer zomaar op nieuwe machines. Berichten zoals deze en mijn eigen ervaringen doen mij er aan denken om avast selfs actief te de-installeren.
Wat dachten mensen dat die gratis virusscanners anders deden? Dat is toch alleen maar te financieren door gegevens door te sturen?
Ok. Zijn er dan helemaal geen gratis virusscanners die als enige doel hebben je te beschermen?
Ik vind bijv. het Panda antivirus programmaatje duizend keer rustiger zijn werk doen dan AVG en Avast. Die laaste 2 laten je echt nooit met rust waar Panda altijd in stilte werkt. Het bewijst verder niks maar AVG en Avast zeuren net zo lang over upgrades en ongewenste programma's installeren tot je er niet meer tegen kan en alles verwijdert.

Verder is Malwarebytes een programma dat veel ellende tijdig deteteert en verwijdert. Of moet je gewoon alles wantrouwen wat gratis is?

Pas op voor dingen die gratis zijn is eigenlijk al sinds jaar en dag wat ik zelf aan mensen mee geef. Niets is voor niks...
Windows Defender? Die het beter doet dan menig AV en ook nog eens gratis en voor niets bij je Windows zit ;) En voor de rest, geen domme dingen downloaden.
Ok. Zijn er dan helemaal geen gratis virusscanners die als enige doel hebben je te beschermen?
Clam AntiVirus.
Open source is voor veel dingen een oplossing, maar anti-virus werkt alleen als er continue nieuwe updates komen van de virus definities... en Clam is daar, niet geheel verrassend, niet de beste mee. Want het valt niet mee met vrijwilligers op te boksen tegen bedrijven die tientallen, zo niet honderden mensen in dienst hebben die de nieuwste malware analyseren en snel de database in pompen.

Ik denk dat er twee dingen zijn die anders moeten. Ten eerste, ja, voor iets als anti-virus zouden mensen toch maar gewoon moeten betalen... Het kan denk ik niet anders. En ten tweede, als IT sector hebben we iets nodig zoals een orde van advocaten of een onafhankelijke medische board die licenties in kan trekken van dokters die onethisch handelen. Hier een erg goede keynote over dit onderwerp van een noorse election hacker: https://www.youtube.com/watch?v=HfNIiitVFtc
1. Eens, maar VS is een soort belangrijk onderdeel van elk OS, zou dat niet met de huidige methodes (gratis, maar beperkte functionaliteit, consumenten versie en betaalde luxere) pakketten moeten?
2. Het niet leveren van (gratis) diensten is een recht? Onethisch? Veel bedrijven en zelfs Open Source leveranciers zijn geen filantropische instellingen en moeten, net als andere bedrijven, geld genereren c.q. winst maken om de boel draaiend te houden.
mijn argument bij 2 was uiteraard niet dat het gratis moet, daar ik net bij 1 zeg dat er betaald moet worden ;-)

Mijn argument is meer dat er een board zou moeten zijn waar iemand die bij Avast werkte toen de beslissing werd genomen om gebruikersdata te gaan verkopen zou kunnen gaan klagen zonder zijn/haar baan kwijt te raken.

Als je als advocaat iets illegaals ziet binnen je bedrijf en er NIET tegenin gaat dan kun je zelf de bak in gaan. Dat zou in de IT ook zo moeten zijn! En je zou je baan kwijt moeten raken als je NIET protesteert tegen immorele beslissingen, in plaats van andersom.
De gratis versies zijn meestal uitgeklede versies van de volledige versie die wel betaald moet worden. Ze dienen als een soort reclame. In andere gevallen maakt een bedrijf een enterpriseversie van een programma en stelt een eenvoudigere versie gratis ter beschikking voor thuisgebruik. Kan allemaal zonder dataverzameling.
Ja, maar afhankelijk van de business en investeerders kan dat soms gewoon niet genoeg zijn. Misschien maakt het bedrijf verlies, of willen de investeerders hogere marges, dus moet het allemaal anders. En dan is het stelen* van gebruikersdata legitiem.

Als IT sector hebben we iets nodig zoals een orde van advocaten of een onafhankelijke medische board die licenties in kan trekken van dokters die onethisch handelen. Hier een erg goede keynote over dit onderwerp van een noorse election hacker: https://www.youtube.com/watch?v=HfNIiitVFtc

* (legaal stelen, natuurlijk, die gebruikers zijn tenslotte akkoord gegaan met een oudere versie van je voorwaarden waarin je stelde dat je de voorwaarden mocht veranderen als de zon opkomt)
Zowel Mozilla als Google staan niet toe dat extensies dat doen
Wat ik mis in dit artikel is waarom het dan toch mogelijk is voor die extensies? Is het dan niet dicht getimmerd? Dan ben je ook niet handig bezig als browser ontwikkelaar lijkt mij.
Het is inderdaad niet dichtgetimmerd en je hebt absoluut gelijk dat dit niet houdbaar is.

Het extension permissie model is: ALLES. Bij installeren kan een extensie al je verkeer inzien en uiteraard ook ingrijpen op de pagina zelf. Vele extensies zullen dat nodig hebben voor hun functionaliteit maar toch moet er iets beters verzonnen worden.
Het extension permissie model is: ALLES.
Dat is een beetje kort door de bocht. De browsers hebben een best gedetailleerd permissie systeem waarbij de extensie/addon toestemming van de gebruiker moet vragen. Bij installatie van de extensie krijgt de gebruiker een prompt te zien met alles wat er nodig is, zoals 'toegang tot tabbladen' en 'toegang tot geschiedenis'.

Eigenlijk is het de schuld van de gebruikers dat zij die permissies zomaar accepteren. Maar ja dat is ook meer onwetendheid en gemak. Iedereen klikt die dingen gewoon door.
Bij installatie van de extensie krijgt de gebruiker een prompt te zien met alles wat er nodig is, zoals 'toegang tot tabbladen' en 'toegang tot geschiedenis'.
Alsof je daarin alles kan vangen wat wel of niet wenselijk is. Als je in de richtlijnen hebt staan dat je geen privacygevoelige informatie doorstuurt zonder expliciete toestemming, hoe ga je dat in een permissiesysteem implementeren? Dan moet de browser geautomatiseerd kunnen zien wat precies privacygevoelig is. Hier zijn mooie theoretische papers over maar in de praktijk bestaat er geen systeem wat dat waterdicht kan herkennen. Hetzelfde voor richtlijnen als dat je persoonlijke data niet voor marketing mag gebruiken: hoe gaat client-side software zien wat een bedrijf allemaal met data uitspookt zodra het je browser verlaten heeft?

Dit is gewoon een probleem met een menselijke oplossing: iemand komt erachter dat de richtlijnen worden overtreden, dat wordt onderzocht, en de app wordt uit de lijst met addons gegooid.

Niet elke oplossing is te automatiseren.

[Reactie gewijzigd door bwerg op 4 december 2019 09:42]

De privacy policy van de extensie staat eigenlijk los van het permissie systeem. De permissies gaan alleen over de technische implementatie. Het is aan de gebruiker om daar betekenis aan te geven, dat vraagt helaas inzicht in de materie. Als ik een extensie installeer en die vraagt om mijn browse geschiedenis dan gooi ik hem er gelijk af, maar mijn oma heeft geen idee wat het betekent en klikt gewoon door.
Dit is gewoon een probleem met een menselijke oplossing: iemand komt erachter dat de richtlijnen worden overtreden, dat wordt onderzocht, en de app wordt uit de lijst met addons gegooid.
Ik zou het niet een oplossing noemen, want er is al schade op het moment dat het onderzocht moet worden. Er is wel de P3P header om de privacy policy met browsers te communiceren, maar ook dat is net als de AVG op basis van goed vertrouwen. Je mag er vanuit gaat dat de organisatie goede intenties heeft en zich aan de richtlijnen houdt, maar die garantie heb je nooit. Dat zie je ook bij de DoNotTrack (DNT) header. Bedoeld om tracking tegen te gaan, maar wordt juist gebruikt om de fingerprinting te verbeteren.
De privacy policy van de extensie staat eigenlijk los van het permissie systeem.
Precies, omdat dat nou eenmaal niet te automatiseren is! Was dat wel gemakkelijk en waterdicht te implementeren, dan zou dat wel gebeuren.

Een permissiesysteem betreft alleen héél simpele permissies: heb je überhaupt geen toegang nodig tot lokale data, dan is dat technisch wel te garanderen. Maar de meeste dingen die een stuk software wel of niet mag zijn niet zo zwart/wit.
Ik zou het niet een oplossing noemen, want er is al schade op het moment dat het onderzocht moet worden.
Dat het geen waterdichte oplossing is betekent niet dat het geen oplossing is. Gewoon partijen eruit gooien die zich niet aan de regels houden voorkomt niet dat regels overtreden worden, maar minimaliseert dat wel doordat de overtreders het niet kunnen herhalen. Een niet-waterdichte oplossing die ouder is dan de weg naar Rome.

[Reactie gewijzigd door bwerg op 4 december 2019 13:37]

Iedereen wil gewoon zijn/haar favoriete virus scanner gebruiken. En hierbij gaat iedereen er van nature vanuit dat deze extensies in orde zijn. Niet de schuld van de gebruiker, maar van de ontwikkelaar.
Volgens mij heeft iedere extensie toegang tot al je verkeer nodig, ik heb nog nooit een andere manier gezien. En daarmee geef je dus al alles weg. Er is geen permissie. De enige mogelijkheid is de extensie simpelweg niet gebruiken.
Volgens mij heeft iedere extensie toegang tot al je verkeer nodig
Nee hoor, er zijn extensies die bijvoorbeeld alleen tweaks in een pagina doen of de html scannen op bepaalde data. Zoals 'Turn Off the Lights' die een super-darkmode forceert op YouTube of tools zoals mijn eigen Bird Spotter (in Chrome) die Twitter usernames uit de pagina vist. Ze hebben alleen toegang tot de tab nodig met daarin de pagina die de browser al heeft opgehaald, maar geen externe verbindingen of browse geschiedenis.
Een extensie moet kunnen zien wat er wordt geladen. Anders kan je bijvorbeeld geen adblocker maken.
En een extensie kan ook zelf het internet opgaan. Bijvoorbeeld om een blocklist te updaten.
Met die twee componenten kan je ook de browsegeschiedenis doorsturen.
Omdat je ook sync addons hebt, o.a. van Mozilla zelf. Maar voor deze functionaliteit kies je dan zelf.
Dat lijkt me erg moeilijk dicht te timmeren als je queries uit voert als je een pagina bezoekt. Dan is er dus bekend welke pagina dit is. Het lijkt me niet dat ze een “Get-all history” command uitvoeren.
Ik ben niet verbaasd maar blijf dit soort hypocrisie wel een klein beetje achterbaks vinden.

Echter wel pluspunten voor Mozilla, het gebeurt te vaak dat bedrijven hier mee wegkomen door de autoriteit die zij bezitten, nu nog zien dat Google ook ingrijpt.
Bijzonder dat je denkt dat Google zou ingrijpen, waarop? Data mining is iets waar ze zelf heer en meester in zijn ;)
Google doet al sinds langere tijd erg moeilijk als het gaat over de app store van Chrome, het overtreden van de gestelde richtlijnen / regels van bepaalde extensies heeft er bijvoorbeeld al voor gezorgd dat extensies alleen nog via de app store geïnstalleerd kunnen worden, en als je daar een paar zinnen omschrijving of een foto mist voor een extensie die je in je vrije tijd heb geschreven die geen vlieg kwaad doet dan gooien ze hem er gewoon uit. :'(
En áls Google ingrijpt, dan verwijderen ze toch alleen maar onterecht dingen: https://news.softpedia.co...eing-a-clone-528358.shtml
Precies, en dat willen ze niet weggeven natuurlijk!
Mozilla is nog altijd de vrijheidsstrijder van weleer. Het is gewoon de veiligste browser met veruit de meeste mogelijkheden om op een schone manier te surfen.

...Dat klinkt geweldig maar houdt praktisch meestal in dat je porno kijkt zonder dat iedereen het weet. ;)

Op een gegeven moment leek het erop dat het Chrome project Firefox geinfecteerd had en de extensies de nek om wilde draaien. Op de een of andere manier is dat nooit gebeurd.

of...?
Mozilla heeft gezien dat er te veel gegevens naar de ontwikkelaars gaat. Daar kunnen zij op ingrijpen. Bij mozilla zit in het gedachte goed dat ze zo min mogelijk telemetrie bedrijven. Dus kunnen/mogen/durven zij te zeggen dat het een keer te veel is.

Bij google ligt dat iets anders. Als die zeggen dat ontwikkelaars te veel gegevens oogsten, zullen ze daar zelf ook aan gehouden worden. En dat is iets dat ze waarschijnlijk niet willen. Google kan dan wel zeggen 'zo min mogelijk' telemetrie te bedrijven maar de term 'zo min mogelijk' is praktisch: 'alles wat we zonder gezichtsverlies kunnen oogsten'.
Privacy is onderdeel van "Online Security". Goed dat Mozilla hier zo op reageerd. Lekker bezig.

Google zal het weinig uit maken. Die logt je automatisch in op hun browser als je op een Google dienst inlogt, stuurt toch al meer info door dan nodig (inclusief browse geschiedenis, ook als je hier niet voor kiest) en is momenteel de enige browser zonder tracking protection. Maar wat verwacht je van een advertentie bedrijf die een browser bouwt nadat Microsoft tracking protection aankondigt.

Maar vele addons doen dit, let goed op welke addons je installeert en gebruikt.
Wat zou zo online adon als meerwaarde hebben eigenlijk behalve je browser slomer maken?
Met een AdBlock blokkeer je het grote deel van de virussen (vaak in advertenties enz). Met trackers blokeren ben je nog veiliger (denk ik dan?) en volgens mij Firefox blokkeert ook sommige sites als ze verdacht of spam zijn. Wat doen die adons dan meer dan je al hebt?
Misschien attachments uit webmail, bestanden van Dropbox etc. scannen? Ook een download via bijvoorbeeld tweakers kan per ongeluk een virus bevatten: fouten worden gemaakt.
Uhm die worden al automatisch gescand op Outlook en Google drive volgens mij ? Ik weet niet door wat maar het gebeurt al wel volgens mij. Ik zie het in ieder geval vaak in beeld bij zulke dagelijkse dingen downloaden.
Dan moet je wel google drive of outlook gebruiken. Doet een standaard consument dat?

[Reactie gewijzigd door Xfade op 3 december 2019 23:10]

Dan moet je wel google drive of outlook gebruiken. Doet een standaard consument dat?
Ik kan je vertellen dat er inderdaad nog veel te veel consumenten zijn die Google gebruiken ja, waaronder drive. Ik heb zelfs horen zeggen dat het de meest gebruikte zoekmachine ter wereld is. Waarom zou ik niet weten, aangezien alles van Google data achter je rug om verzamelt en daarmee onder spyware valt, maar ondanks dat schijnen ze toch nog een aardige aanhang te hebben.
:+
Wat doen die adons dan meer dan je al hebt?
Je browsegeschiedenis doorsturen
Waarschijnlijk is het zo dat de meeste gebruiikers eerst de antivirus add-ons toepassen en daarna pas de adblokers. Daarmee zullen de adblockers het verkeer van de antivirus extenties niet blokkeren. Of als de adblokers de antivirus gegevens blokkeren, dan zullen de meeste gebruikers dat vrij snel doorlaten omdat het toch antivirus is.
De niet gratis "F-Secure" scanner gaat naar mijn idee nog een stap verder, die installeert zelf een plugin/extensie die je niet zelf met een druk op de knop uit firefox kunt halen of kunt uitzetten (je kon hem meen ik wel uitzetten met een knop, maar bleef dan gewoon werken, uitzetten kon alleen in de scanner zelf). Later kwam daar nog bij dat deze scanner je bankgegevens ging beveiligen. Een popup zodra je op de beveiligde banksite inlogde. Dat was voor mij reden de scanner te de-installeren. En nu maar hopen dat windows defender netjes met mijn gegevens omgaat...
Dat ze dan Google en Facebook ook maar snel blokkeren, dat zijn pas de kampioenen van de spyware.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True