Laut dem Artikel wurden Daten also auch ohne Zustimmung abgegriffen. Schon der Umstand, dass die Nutzer nicht darauf hingewiesen werden was für sensible Daten bei Zustimmung gesammelt und verkauft werden, sollte die Staatsanwaltschaft auf den Plan rufen. Spionage ohne Zustimmung ist nochmal eine andere Hausnummer.

Aber laut Artikel reicht es ja wohl wenn der Laden sein Geschäftsmodell in Teilen abmildert. Tu felix USA.

Ich hatte Avast schon mal vor Jahren in einer Windows-VM installiert. Man liest ja schlimme Dinge von ungeschütztem Internet-Verkehr mit Win. Damals dachte ich ganz naiv, dass das größte Risiko wäre aus Versehen einen der regelmäßig auftauchenden Riesen-Buttons im Programm zu klicken und so in eine Abo-Falle zu geraten.


Abendgebet: Möge Apple es schaffen, aus Catalina ff. wieder zuverlässige Systeme zu machen, bevor die Vorgänger in knapp zwei Jahren aus dem Support fallen.

Hatte avast immer mal wieder installiert um nen kompletten Virenscan zu machen. Es dann aber auch immer wieder deinstalliert weil es immer im Hintergrund mitläuft. Tja war dann wohl das letzte mal.

Schon krass, was sich die Verantwortlichen mancher Unternehmen erlauben, ohne dabei rot zu werden.

Ich würde mich in Grund und Boden schämen ...

Viel schlimmer finde ich ja, dass Avast den SSL-Traffic aufbrechen muss um den Inhalt zu lesen. Internet Security, my ass!

Aber das machen doch wohl alle Programme, die dich im Internet beschützen wollen. Blöd ist hier jetzt nur, das die Daten verkauft haben. Damit sollte das Vertrauen der Kundschaft gegen Null gehen und eigentlich sollte die Firma jetzt zusperren. Oder per Sammelklage zu etlichen Fantastilliarden verklagt werden (die haben doch hoffentlich auch eine Zweigstelle in USA wo man sowas machen kann )

Stimmt, du hast recht. Im Grunde genommen machen das alle Internet Security Tools.

Und Tschüss Avast - hier hat jemand offenkundig nicht begriffen was es ihn kostet wenn er das Vertrauen seiner Kundschaft verspielt...

Jetzt kann man nur hoffen dass dieses Unding berücksichtigt wird wenn mal wieder "die besten Virenscanner für den Mac 2020" geschrieben wird und der Redakteur nicht nur an seine Anzeigenkunden denkt.

Da sollte ein Verfahren wegen GDPR in Kürze anrollen, die Strafen dürf(t)en schon schmerzhaft sein...

Geht gar nicht...

... was ein guter weiterer Grund ist, davon die Finger zu lassen. Wenn einem die anderen Gründe noch nicht reichen sollten.

Wer Schlangenöl anbietet, der verkauft auch ohne Skrupel Adressen weiter.

„Viel schlimmer finde ich ja, dass Avast den SSL-Traffic aufbrechen muss um den Inhalt zu lesen. Internet Security, my ass!“

Was bedeutet „aufbrechen“?

Vereinfacht dargestellt: Normalerweise besteht eine verschlüsselte Verbindung aus zwei Seiten, einem Server (z.B. dem Online-Banking-Portal) und einem Client (dem Browser). Die beiden kommunizieren direkt miteinander, wobei die Verschlüsselung und die Identität des Servers dem Client gegenüber mit Hilfe eines Zertifikats, das zum Banking-Portal gehört, sichergestellt werden. Dem Zertifikat muß der Client vertrauen - das wird mit Hilfe einer Signatur erreicht, die von sogenannten CAs (Certificate Authorities, also Zertifizierungsstellen) erstellt wird, denen der Browser bzw. das Betriebssystem auf Client-Seite vertraut.

Der Server zeigt Dir also sein Zertifikat, das seine Identität bestätigt und den öffentlichen Schlüssel für den Verbindungsaufbau enthält, und das Dein Browser anhand der Signatur verifizieren kann.

Die "Sicherheitssoftware" nun hängt sich als man-in-the-middle dazwischen: Sie fängt die verschlüsselte Verbindung ab, entschlüsselt den Netzwerkverkehr, tut damit, was sie zu tun vorgibt (und, wie sich zeigt, mitunter auch ein bißchen mehr), und verschlüsselt die Verbindung zum Server dann wieder.

Der Haken dabei ist das Zertifikat: Wenn Dein Browser mit der "Sicherheitssoftware" spricht, während er die Verbindung zum eigentlichen Server aufbauen will, dann hat die natürlich nicht den passenden privaten Schlüssel - den hat nur der Server. Also installiert sie ein eigenes Zertifikat für beliebige Server (ein sogenanntes "Wildcard-Zertifikat") in Deinem System oder Deinem Browser, so daß Du ihr vertraust, und baut dann ihrerseits die richtige verschüsselte Verbindung auf.

Dieses Vorgehen hat drei Haken: Zum einen ist das besagte Wildcard-Zertifikat natürlich ein Problem, weil es Dir die Kontrollmöglichkeit darüber nimmt, mit wem Du redest. Normalerweise kannst Du das z.B. anhand des kleinen Schloß-Icons in der Adreßzeile des Browsers verifizieren, das ist bei Installation einer "Sicherheitssoftware" aber wertlos.

Zum anderen hast Du keine Kontrolle darüber, wem ihrerseits die "Sicherheitssoftware" vertraut. Es sind durchaus Fälle aufgetreten, in denen solche Lösungen willenlos alle Zertifikate akzeptiert haben, die ihnen vorgelegt wurden - auch offenkundig gefälschte oder selbstsignierte. Dann sprichst Du ggf. mit einem Betrüger, Phischer oder sonst einem Halunken, ohne daß Du es merken könntest.

Und zum dritten, und darum geht es im vorliegenden Fall, hast Du halt keine Kontrolle darüber, was die "Sicherheitssoftware" mit den entschlüsselten Daten macht. Wie sich zeigt, ist auch das nicht (nur) unbedingt das, was sie zu tun vorgibt.

Ergo: Finger weg von Schlangenöl.

Sag da nur Avast! lol

Vielen Dank für die ausführliche Erklärung. Ich hatte Bedenken in diese Richtung schon einmal in ähnlicher Weise bei VPN-Anbietern. Also dass gerade diejenigen, denen man aus Sicherheitsgründen vertrauen will, ein Risiko sein können.

Das stimmt ja auch, wenn auch nicht primär aus Sicherheitsgründen.

Wenn Du z.B. aus einem Hotel-WLAN die Verbindung zum Internet über ein VPN aufbaust, hast Du damit schon mal den Vorteil, daß Deine Daten nicht teilweise unverschlüsselt über das WLAN gehen, und daß der WLAN-Betreiber nicht mitlesen kann, was Du da so treibst. Zwar sind die meisten Mail- oder Web-Server mittlerweile ihrerseits verschlüsselt (der WLAN-Betreiber kommt also nicht an die Inhalte), aber DNS und andere Dienste arbeiten ohne Verschlüsselung, und damit bekommt der Betreiber zumindest mal Metadaten.

Den Vorteil erkaufst Du aber damit, daß dann eben der VPN-Betreiber diese Daten bekommt. Ob das jetzt besser ist, ist eine Frage des Vertrauens - einem seriösen VPN-Betreiber würde ich noch eher zutrauen, verantwortungsvoll mit so gewonnenen Daten umzugehen (oder, besser, sie erst gar nicht zu speichern), als einem Feld-, Wald- und Wiesen-Hotel-WLAN-Betreiber. Nur: Datenschutztechnisch ist so in summa nichts gewonnen.

Ein wenig besser sieht es aus, wenn Du Dein VPN selbst betreibst. Dann ist die Privatsphäre, die Du damit gewinnst, ziemlich genau die gleiche wie die, die Du daheim genießt. Das ist auch nicht perfekt - wenn Du z.B. den DNS-Server des Providers nutzt (die meisten tun das standardmäßig), dann hat der Provider halt die Metadaten, also z.B. welche Webseiten Du besuchst und so weiter.

Deutlich besser ist die Situation bei der Nutzung von Tor. DNS-Requests, verschlüsselte und unverschlüsselte Verbindungen etc. laufen dann über das Tor-Netzwerk, das die Daten mehrfach ineinandergeschachtelt verschlüsselt und um drei Ecken herum routet und damit Absender und Empfänger verschleiert. Auch da ist der Schutz nicht zwingend perfekt.

Böswillige Exit-Nodes (die dritte Stufe des Routings) können zumindest unverschlüsselte Verbindungen mitlesen und ggf. Rückschlüsse auf den Absender ziehen (den Empfänger kennen sie ja), und man kann sich auch prima z.B. bei den Browsereinstellungen in den Fuß schießen (Javascript z.B. ist mit großer Vorsicht zu genießen, wenn man auf Anonymität Wert legt). Aber richtig benutzt - dazu gibt es ausführliche Ratschläge auf den Seiten des Tor-Projekts - kann Tor schon ein für den Normalgebrauch mehr als ausreichendes Maß an Privatsphäre gewährleisten.

Mal abgesehen davon, dass das gar nicht geht, was Avast da veranstaltet, möchte ich mal fragen, wie ich das rein praktisch erkenne, ob mir die Daten abgegriffen werden oder nicht. Ich setze nämlich - noch - Avast ein. Der Artikel spricht ja von einem Opt-In, das mir vom Installl allerdings nicht in Erinnerung ist.

Also habe ich mal die Einstellungen durchsucht und bin auf diesen Punkt hier gestoßen:



Der untere wird wohl der Übeltäter sein. Was sagt ihr? Könnte man noch irgendwo erkennen, ob es denen sogar egal ist, ob der Haken sitzt oder nicht? Dass also trotz deaktivierter Option Daten weitergegeben werden? Auch das ist ja nicht auszuschließen...

Sorry, dass ich das Thema etwas verfremde, es hat aber ebenfalls mit dem "Aufbrechen" einer verschlüsselten https-Verbindung zu tun.

Hin und wieder wird ja die Software AdGuard für "spezielle Features" empfohlen. Nun wird da ja auch eine https-Verbindungen mithilfe eines eigenen CA Zertifikates aufgeweicht, damit es reingucken kann und seine Dienste tut… Klar, man kann Ausnahmen definieren, doch wenn ich (mit leider nur amateurhaftem Knowledge) bei LittleSnitch sehe, was dennoch für Verbindungen stattfinden, wird mir etwas mulmig. Wie steht ihr dazu?

ps. Ich glaube es wird Zeit… Safari, es war sehr schön, au revoir…

Also von mir sicher nicht. Genau deswegen.
Ganz allgemein und über einen Kamm geschoren: Was ein eigenes CA-Zertifikat installiert, fliegt raus und ist lebenslang geächtet.
Das hat was genau mit Safari zu tun? Verstehe ich jetzt nicht ...

Naja, für Firefox benötige ich das Tool halt nicht…

Den Defender gibt es schon lange und er funktionierte auch vor vielen Jahren schon gut (dass er schlecht sei, wurde und wird von den Antivirusherstellern propagiert). Gerade bei Win ist für den normalen User die Installation einer 3rd party Sicherheitssoftware unnötig.