德国计算机杂志c’ t本周披露,Winodws版的卡巴斯基(Kaspersky)杀毒软件暗藏隐私漏洞,可供网站关注用户行为。
该杂志定期会测试不同的杀毒软件产品,一名安装了卡巴斯基杀毒软件的编辑Ronald Eikenberg,意外在某个所访问网站的程序代码中,看到来自卡巴斯基的JavaScript脚本程序,检验后发现它是卡巴斯基赋给每台计算机的ID。
于是只要是安装了卡巴斯基的杀毒软件,不管是以Firefox、Edge或Opera浏览器访问任何网站,这些网站都会被注入含有同样ID的JavaScript。而且当Eikenberg以其它安装了卡巴斯基杀毒软件的计算机访问网站时,所呈现的ID便不同。
Eikenberg把它称为Kaspersky ID,意味着它是由卡巴斯基赋给每一台用户计算机的身份,只要能读取Kaspersky ID的网站,就能利用该ID来关注用户行为,可得知该名用户是否曾访问过该站,不管是哪一家浏览器,即使是激活无痕模式,都难逃被关注,有机会遭到营销人员或黑客的滥用。
该隐私漏洞,影响卡巴斯基自2015年秋天发布的所有消费者版本的Windows杀毒软件,从免费版到Kaspersky Internet Security与Total Security,也波及Small Office Security,估计影响数百万名卡巴斯基用户。
卡巴斯基在收到Eikenberg的通知之后,承认该问题的存在,但指出相关攻击太过复杂且无利可图,不过Eikenberg却认为这是个严重的漏洞,若黑客或营销人员在4年前漏洞现身时,就打造一个网站来搜集Kaspersky ID,现在应已具备强大的监控能力。
总之,卡巴斯基在Eikenberg的督促下分配了CVE-2019-8286编号给该漏洞,并于今年7月修补。
Eikenberg在卡巴斯基修补之后再度进行测试,发现卡巴斯基把原本每一台计算机都具备的ID改成产品ID,例如使用特定杀毒软件版本的用户,都具备同样的ID,使网站无法再识其他别的用户。但Eikenberg觉得这还是有危险性存在,例如黑客就能借由判断杀毒软件版本来定制化攻击模式,也再度向卡巴斯基提报漏洞。
不过,用户也可在卡巴斯基杀毒软件的流量处理设置中,关闭“Inject script into web traffic to interact with web pages”功能,即能避免让网站访问相关ID。