德国电脑杂志c't 本周披露,Winodws版的卡巴斯基(Kaspersky)防毒软件暗藏隐私漏洞
,可供网站追踪用户行为。
该杂志定期会测试不同的防毒软件产品,一名安装了卡巴斯基防毒软件的编辑Ronald
Eikenberg,意外在某个所造访网站的程式码中,看到来自卡巴斯基的JavaScript脚本程
式,检验后发现它是卡巴斯基赋予每台电脑的ID。
于是只要是安装了卡巴斯基的防毒软件,不管是以Firefox、Edge或Opera浏览器造访任何
网站,这些网站都会被注入含有同样ID的JavaScript。而且当Eikenberg以其它安装了卡
巴斯基防毒软件的电脑造访网站时,所呈现的ID便不同。
Eikenberg把它称为Kaspersky ID,意谓着它是由卡巴斯基赋予每一台用户电脑的身分,
只要能读取Kaspersky ID的网站,就能利用该ID来追踪使用者行为,可得知该名使用者是
否曾造访过该站,不管是哪一家浏览器,即使是启用无痕模式,都难逃被追踪,有机会遭
到行销人员或骇客的滥用。
此一隐私漏洞,影响卡巴斯基自2015年秋天发表的所有消费者版本的Windows防毒软件,
从免费版到Kaspersky Internet Security与Total Security,也波及Small Office
Security,估计影响数百万名卡巴斯基用户。
卡巴斯基在收到Eikenberg的通知之后,承认此一问题的存在,但指出相关攻击太过复杂
且无利可图,不过Eikenberg却认为这是个严重的漏洞,若骇客或行销人员在4年前漏洞现
身时,就打造一个网站来蒐集Kaspersky ID,现在应已具备强大的监控能力。
总之,卡巴斯基在Eikenberg的督促下分配了CVE-2019-8286编号予该漏洞,并于今年7月
修补。
Eikenberg在卡巴斯基修补之后再度进行测试,发现卡巴斯基把原本每一台电脑都具备的
ID改成产品ID,例如使用特定防毒软件版本的用户,都具备同样的ID,使网站无法再辨识
个别的用户。但Eikenberg觉得这还是有危险性存在,例如骇客就能借由判断防毒软件版
本来客制化攻击模式,亦再度向卡巴斯基提报漏洞。
不过,使用者也可在卡巴斯基防毒软件的流量处理设定中,关闭“Inject script into
web traffic to interact with web pages”功能,即能避免让网站存取相关ID。
原文连结:
https://www.ithome.com.tw/news/132471?fbclid=IwAR0je8ZM0p72nqddWPkAs0JGOswbVnx
YdVK8mV5Kwby_b9LKjDDDipESoZc
缩网址:https://tinyurl.com/y4lcsxyn