卡巴斯基防病毒曝漏洞允许第三方跟踪过去4年中访问过的每个网站

卡巴斯基反病毒解决方案在其用户访问的网页中注入了每个系统唯一的标识号。这始于2015年底，可用于跟踪用户的浏览兴趣。

卡巴斯基防病毒产品的版本（付费和免费，直到2019年）显示有此行为，无论使用何种网页浏览器，都可以进行跟踪，即使用户启动了私人会话也是如此。

JavaScript来源有误

由c't杂志  编辑Ronald Eikenberg发出警告，问题是来自卡巴斯基服务器的JavaScript从一个地址加载，该地址包含每个用户的唯一ID。在此之前是否被利用，目前不得而知。

网站上的脚本可以读取HTML源并收集卡巴斯基标识符，Eikenberg确定该标识符在系统上保持不变。

“换句话说，任何网站都可以读取用户的卡巴斯基ID并将其用于跟踪。如果相同的通用唯一标识符返回或出现在同一运营商的另一个网站上，他们可以看到正在使用同一台计算机。”

脚本的目的是完全合法的。它的一个用途是通过在它们旁边应用相应的复选标记来警告用户哪些搜索结果有危险。卡巴斯基并不是唯一能够做到这一点的杀毒软件。

轻松跟踪用户

卡巴斯基官方承认了这个问题，第三方可以利用它来“通过使用独特的产品ID来潜在地破坏用户隐私”。

该公司在6月初发布了补丁。根据咨询从7月11日，攻击者可能会利用这一点，通过部署其控制的服务器上的脚本。

在向卡巴斯基报告问题之前，艾肯伯格通过花费大约半小时创建一个自动复制访问者卡巴斯基ID的网站来测试他的发现潜力。

Eikenberg认为，如果他能找到这个现在被认定为CVE-2019-8286的问题，营销人员，恶意行为者和专门分析网站访问者的公司可能会在几年前发现这个用户数据泄露并利用它; 但是，没有证据支持这一点。

修复不会完全消除跟踪

他用修补过的卡巴斯基产品重复了实验，并发现该ID仍然存在，但对于特定卡巴斯基版本的所有用户来说都是一样的，因此它不再用于跟踪个人用户。

但是，跟踪问题仍然存在于更广泛的层面，因为网站可以查看访问者是否安装了卡巴斯基反病毒软件以及该版本的使用年限。

“这对攻击者来说实际上是有价值的信息。他们可能会利用这些信息分发针对保护软件定制的恶意软件，或者将浏览器重定向到合适的诈骗页面，” 研究人员 今天在一篇文章中写道。

在Eikenberg想象的场景中，攻击者可以使用此信息向受害者显示一条消息，通知他们卡巴斯基产品的特定版本即将过期，并且他们可以通过在线购买扩展许可证。

永久消除此类风险的一种解决方案是通过转到“网络”菜单并取消选中将脚本注入Web流量的选项来禁用产品的流量处理功能。

卡巴斯基告诉安全周刊，“卡巴斯基通过删除GET请求的唯一标识符的使用，改变了检查网页恶意活动的过程。”这一变化是在Ronald Eikenberg向我们报告使用GET请求的唯一标识符后做出的。可能会导致用户个人信息的泄露。“

该公司补充说：“经过我们的内部研究，我们得出结论认为，这种用户隐私妥协的情况在理论上是可行的，但由于其复杂性和网络犯罪分子的低利润率，不太可能在实践中实施。尽管如此，我们仍在不断努力改进我们的技术和产品，从而改变了这一过程。“

卡巴斯基为多个用户提供了相同的解决方案，这些用户不喜欢在他们访问的页面中注入JavaScript的防病毒软件。

用户应注意，禁用此选项会影响产品中其他组件的功能，例如安全数据输入，安全资金，隐身浏览，反网络和家长控制。

转发是对我们最大的鼓励

                                                                                            帅的都点了看吧↓