在这个数字化时代,几乎所有的营销、广告和分析企业都通过追踪互联网上用户的行踪来识别并了解用户的兴趣来提供精准广告的方式获得成功。多数解决方案都依赖于第三方 cookie,它们是在有别于用户正在浏览的域名上设置的 cookie,可允许谷歌和 Facebook 等企业对用户进行指纹识别,以便在多个站点上追踪用户行为。然而,如果你用的是卡巴斯基公司的 Kaspersky Antivirus 产品,那么应该了解的一点是,该软件的一个漏洞可暴露和用户相关联的唯一识别符,能够识别出用户在过去四年所访问的所有网站,从而可能导致这些网站和其它第三方服务对用户进行追踪,即使用户已及时拦截或擦除第三方 cookie 也不例外。该漏洞的编号是CVE-2019-8286,是由独立安全研究员 Ronald Eikenberg 发现的,存在于集成于该杀毒软件的 URL 扫描模块 Kaspersky URL Advisor 运作的方式中。在默认情况下,卡巴斯基网络安全解决方案将远程托管的 JavaScrip 文件直接注入每个所访问网页的 HTML 代码中(适用于所有 web 浏览器,隐身模式也不例外),试图查看该网页是否属于可疑的和钓鱼 web 地址清单中。不过这也没有特别稀奇的地方,毕竟多数互联网安全解决方案都是通过这么做来监控网页中是否存在恶意内容的。然而,Eikenberg发现,该JavaScript 文件的 URL 中包含一个唯一标识卡巴斯基用户的字符串,就像 UUID(全局唯一标识符)那样可被网站、其它第三方广告和分析服务轻易获取,从而导致用户隐私易遭暴露。研究人员表示,“这样做很糟糕,因为其它在网站域名上下文中运行的脚本可在任何实践访问 HTML 代码,因此也能访问注入的卡巴斯基ID。这意味着任意网站可轻易通过去读用户卡巴斯基 ID 的方式追踪用户。这些 ID 是持续性的,而且在数天内不会更改,这就导致ID 可被永久性地分配给某个特定的计算机。”Eikenberg 将问题告知卡巴斯基,后者证实了问题的存在并在上个月通过为所有用户分配常量(FD126C42-EBFA-4E12-B309-BB3FDD723AC1)而非使用JavaScript URL 中的 UUID 的方式修复。卡巴斯基发布安全公告表示,“卡巴斯基已修复产品中的问题 CVE-2019-8286,它可通过使用能够遭第三方访问的唯一产品id 的方式攻陷用户隐私。这个问题被归类为‘用户数据暴露’问题。攻击者必须准备并在 web 服务器上部署恶意脚本以追踪用户。”然而,Kaspersky URL Advisor 功能仍然能够让网站和第三方服务找到访客是否在系统上安装了卡巴斯基软件,而Eikenberg 警告称,欺诈人员和犯罪分子能够间接利用这一点,“攻击者能够利用这种信息重新传播针对软件保护措施的有害病毒或者将其重定向至诈骗页面,借口‘您的卡巴斯基许可证已过期,请输入您的信用卡号更新订阅’来实施恶意行为。”卡巴斯基已向受影响用户推出 Kaspersky Antivirus、Internet Security、Total Security、Free Antivirus 和 Small Office Security 产品的更新版本。但是如果用户希望完全禁止该追踪功能,则需要通过设置→更多→网络→取消勾选流量处理框来手动禁用 URL Advisor 功能。
原文链接
https://thehackernews.com/2019/08/kaspersky-antivirus-online-tracking.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。