De browser die je nu waarschijnlijk gebruikt, scant vrijwel alle bestanden op je Windows-computer. En dat wist je vast nog niet voordat je aan dit artikel begon. Maar maak je geen zorgen. Je bent niet de enige.

Afgelopen jaar kondigde Google een aantal updates voor Chrome aan. Chrome is verreweg de populairste browser op aarde en beveiligingsprofessionals bevelen ‘m ook vaak aan. Het bedrijf zei dat met deze antivirusfeatures surfen op Windows nog “veiliger” en “schoner” ging worden. En Google deed dit door hun Chrome Cleanup Tool te verbeteren met software van het cybersecurity- en antivirusbedrijf ESET.

Digitale privacy is sinds Cambridge Analytica-schandaal van Facebook weer heel groot in het nieuws. Zelfs je moeder vraagt of ze haar Facebook moet verwijderen. Maar we hoeven ons, zover we weten, geen zorgen te maken over wat Google doet.

Chrome zoekt op je Windows-computer naar malware die de browser probeert binnen te dringen. Als er mogelijke malware wordt gevonden, wordt de metadata van dat bestand samen met wat systeeminformatie naar Google doorgestuurd. Vervolgens vraagt Chrome toestemming om het verdachte bestand te verwijderen. (Je kunt ervoor kiezen om geen informatie naar Google te verzenden door het selectievakje “Rapporteer gegevens aan Google” uit te schakelen.)

Een schermafbeelding van de Chrome-pop-up die wordt weergegeven als Chrome Cleanup Tool malware op je Windows-computer detecteert

Vorige week merkte Kelly Shortridge, die bij securitybedrijf SecurityScorecard werkt, dat Chrome de map ‘Mijn Documenten’ van haar Windows-computer aan het scannen was.

I was wondering why my Canarytoken (a file folder) was triggering & discovered the culprit was chrome.exe. Turns out @googlechrome quietly began performing AV scans on Windows devices last fall. Wtf m8? This isn’t a system dir, either, it’s in Documents pic.twitter.com/IQZPSVpkz7 — Kelly Shortridge (@swagitda_) March 29, 2018

“Ik schrik er echt van dat Google deze functie zo stilletje probeerde toe te voegen. En dat zonder documenten of handleidingen,” vertelt Shortridge me in een online chat. “Het is duidelijk hun bedoeling om de beveiliging te verbeteren. Maar dat ze geen toestemming vragen en niet transparant zijn, is in strijd met hun eigen beleid van ‘gebruiksvriendelijke software’.”

Haar tweet kreeg veel aandacht en zorgde ervoor veel infosec-mensen – en normale gebruikers zoals ik – even drie keer achter hun oren moesten krabben.

“Niemand houdt van verrassingen,” vertelt Haroon Meer, oprichter van beveiligingsadviesbureau Thinkst, me in een online chat. “In tijden dat mensen bang zijn voor big brother, en dat tech-giganten te ver gaan… als een browser dan aan bestanden komt waar hij niet bij hoort te kunnen, gaan er alarmbellen rinkelen.”

Voor alle duidelijkheid: dit betekent niet dat Google naar je privéfoto’s kan kijken. Chrome Cleanup zorgt er volgens Google alleen voor dat er geen malware op je computer komt door gevaarlijke extensies of advertenties.

Zoals Justin Schuh tweette, is het programma “uitsluitend bedoeld om ongewenste software te detecteren en te verwijderen.” Het hoofd beveiliging van het Chrome-team voegde eraan toe dat het programma maar één keer per week wordt uitgevoerd, het alleen gewone gebruikersrechten heeft (wat betekent dat niet te diep in het systeem kan infiltreren), het in een “sandbox” draait (dat het geïsoleerd van andere programma’s is), en dat gebruikers zelf op de pop-up moeten klikken om bestanden te verwijderen en “op te ruimen.”

Met andere woorden, Chrome Cleanup Tool is veel minder ingrijpend dan een normale cloud-antivirus die je hele computer scant (en dus ook kwetsbare onderdelen als de kernel) en ook gegevens uploadt naar de servers van het antivirusbedrijf.

Maar zoal professor Matthew Green zei, hebben de meeste mensen “er een beetje een onaangenaam gevoel aan overgehouden dat Chrome zonder toestemming door hun onderbroekenla snuffelde.”

Dat is het probleem: de meeste Chrome-gebruikers verwachten waarschijnlijk niet dat een internetbrowser bestanden op hun computers gaat scannen en verwijderen.

Toen ik om een reactie vroeg, verwees een woordvoerder van Google mij door naar de blogpost en tweets van Schuh.

In Chrome’s whitepaper over privacy staat dat “Chrome je apparaat periodiek scant om mogelijk ongewenste software te detecteren.” Uit gearchiveerde versies van de whitepaper blijkt dat dit al sinds januari 2017 in het document staat. En met net iets andere woorden wordt al veel langer hetzelfde gezegd: “Chrome scant je computer regelmatig met enkel het doel potentieel ongewenste software te detecteren.”

Martijn Grooten, organisator van een van de eerste antivirusconferenties ter wereld, vertelde me in een Twitter-chat dat het gedrag van Chrome Cleanup Tool “begrijpelijk” is.

“Voor vrijwel alle gebruikers is dit echt totaal ongevaarlijk. Mensen die extreem bezorgd zijn over het feit dat Google sommige metadata ziet, zouden Chrome sowieso niet moeten gebruiken,” zegt hij.