'卡巴斯基修復四年老漏洞 注入HTML源碼的唯一標識符會洩露用戶隱私'
多年來,卡巴斯基反病毒軟件一直在各項安全測試中名列前茅。然而近日曝出的數據洩露事件,竟使得第三方能夠長期監視用戶的網絡活動。德國網站 Heise.de 編輯 Ronald Eikenberg 指出,在其辦公室電腦上的一個奇怪發現,讓他知曉卡巴斯基反病毒軟件造成了驚人的數據洩露。
"多年來,卡巴斯基反病毒軟件一直在各項安全測試中名列前茅。然而近日曝出的數據洩露事件,竟使得第三方能夠長期監視用戶的網絡活動。德國網站 Heise.de 編輯 Ronald Eikenberg 指出,在其辦公室電腦上的一個奇怪發現,讓他知曉卡巴斯基反病毒軟件造成了驚人的數據洩露。
(題圖 via Heise.de)
作為 c't issue 3 / 2019 測試第一部分,小編會定期對反病毒軟件進行測試,以觀察其是否履行了企業所聲稱的安全承諾。
在剛開始的幾周和幾個月,事情似乎波瀾不驚 —— 卡巴斯基軟件的表現,與 WindowsDefender 基本相同或差強人意。
然而忽然有一天,Ronald Eikenberg 在查看了任意網站的 HTML 源碼後發現,卡巴斯基竟然為其注入瞭如下代碼:
顯然,瀏覽器正在加載來自 Kaspersky 域、名為 main.js 的外部 JavaScript腳本。儘管 JS 代碼並不罕見,但當深入查看瀏覽器中顯示的其它網站的 HTML 源碼時,幾乎都有同樣奇怪的發現。
毫無意外的是,Ronald Eikenberg 竟然在個人網銀網站上,也查看到了來自卡巴斯基的腳本。因此其斷定 —— 這件事可能與卡巴斯基軟件有些關聯。
為了驗證,Ronald Eikenberg 嘗試了 Mozilla Firefox、Microsoft Edge、以及 Opera 瀏覽器,結果發現相同的代碼隨處可見。
鑑於沒有安裝可疑的瀏覽器擴展程序,他只能簡單理解為是卡巴斯基反病毒軟件在操縱當前的網絡流量 —— 在未獲得用戶許可的情況下,卡巴斯基僭越了!
在此事曝光前,許多人可能只會在網銀木馬類惡意軟件上觀察到這種行為,以圖竊取或篡改關鍵信息(比如悄悄地變更了網銀轉賬的收款方)。現在的問題是 —— 卡巴斯基你到底在幹嘛呢?!
經過對 main.js 腳本展開的一番分析,可知卡巴斯基會在判別某個‘乾淨’網站鏈接後,在地址欄顯示帶有谷歌搜索結果的綠色圖標。
然而還有一個小細節 —— 加載卡巴斯基腳本的地址,也包含了一段可疑的字符串:
"https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
多年來,卡巴斯基反病毒軟件一直在各項安全測試中名列前茅。然而近日曝出的數據洩露事件,竟使得第三方能夠長期監視用戶的網絡活動。德國網站 Heise.de 編輯 Ronald Eikenberg 指出,在其辦公室電腦上的一個奇怪發現,讓他知曉卡巴斯基反病毒軟件造成了驚人的數據洩露。
(題圖 via Heise.de)
作為 c't issue 3 / 2019 測試第一部分,小編會定期對反病毒軟件進行測試,以觀察其是否履行了企業所聲稱的安全承諾。
在剛開始的幾周和幾個月,事情似乎波瀾不驚 —— 卡巴斯基軟件的表現,與 WindowsDefender 基本相同或差強人意。
然而忽然有一天,Ronald Eikenberg 在查看了任意網站的 HTML 源碼後發現,卡巴斯基竟然為其注入瞭如下代碼:
顯然,瀏覽器正在加載來自 Kaspersky 域、名為 main.js 的外部 JavaScript腳本。儘管 JS 代碼並不罕見,但當深入查看瀏覽器中顯示的其它網站的 HTML 源碼時,幾乎都有同樣奇怪的發現。
毫無意外的是,Ronald Eikenberg 竟然在個人網銀網站上,也查看到了來自卡巴斯基的腳本。因此其斷定 —— 這件事可能與卡巴斯基軟件有些關聯。
為了驗證,Ronald Eikenberg 嘗試了 Mozilla Firefox、Microsoft Edge、以及 Opera 瀏覽器,結果發現相同的代碼隨處可見。
鑑於沒有安裝可疑的瀏覽器擴展程序,他只能簡單理解為是卡巴斯基反病毒軟件在操縱當前的網絡流量 —— 在未獲得用戶許可的情況下,卡巴斯基僭越了!
在此事曝光前,許多人可能只會在網銀木馬類惡意軟件上觀察到這種行為,以圖竊取或篡改關鍵信息(比如悄悄地變更了網銀轉賬的收款方)。現在的問題是 —— 卡巴斯基你到底在幹嘛呢?!
經過對 main.js 腳本展開的一番分析,可知卡巴斯基會在判別某個‘乾淨’網站鏈接後,在地址欄顯示帶有谷歌搜索結果的綠色圖標。
然而還有一個小細節 —— 加載卡巴斯基腳本的地址,也包含了一段可疑的字符串:
https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
鏈接加粗部分,顯然屬於某種“通用唯一標識符”(UUID)。但是作為一款計算機安全軟件,卡巴斯基要拿這串字符去識別或追蹤誰呢?
擴展擴展驗證,Ronald Eikenberg 在其它計算機上也安裝了卡巴斯基軟件,發現它確實會向其它系統同樣注入 JavaScript 代碼、並且留意到了一個至關重要的區別。
源地址中的 UUID,在每臺系統上都是不一樣的。這些 ID 屬於持久性的標識,即便過了幾天也不會發生改變。顯然,每臺計算機都會擁有自己的永久分配 ID 。
而將這串 UUID 直接注入每個網站的 HTML 源碼,絕對是一個糟糕頭頂的主意。因為在網站域上下文環境中運行的其它腳本,都可以隨時訪問整個 HTML 源,甚至讀取卡巴斯基這串 UUID 。
這意味著任何網站都可以讀取並追蹤卡巴斯基軟件用戶的網絡 ID,只要另一個網站檢測到了同一字符串,就能認定其訪問源來自同一臺計算機。
基於這種假設,卡巴斯基顯然是打造了一套危險的追蹤機制,甚至比傳統的 cookie 更加極端 —— 就算你切換了瀏覽器,也會被追蹤並識別到在使用同一臺設備、讓瀏覽器的隱身模式形同虛設。
為避免更多用戶陷入風險,c't 決定立即向卡巴斯基通報這一發現、並且迅速得到了對方的答覆,稱其已著手調查此事。
大約兩週後,卡巴斯基莫斯科總部對這一案例進行了分析,並證實了 c't 的這一發現。
該問題影響所有使用 Windows 版卡巴斯基安全軟件的消費者版本,從入門機的免費版、互聯網安全套裝(KIS)、直至全面防護版(Total Security)。
此外,卡巴斯基小企業安全版(Small OfficeSecurity)也受到了該問題的影響,導致數百萬用戶暴露於風險之中。
Heise.de 調查顯示,卡巴斯基從 2015 年秋髮布的“2016”系列版本中引入了該漏洞。但既然普通網友都能在無意間發現這個漏洞,包括營銷機構在內的第三方,也極有可能早就展開了野外利用。
即便如此,卡巴斯基仍表示這種攻擊過於複雜,因此發生的概率極低,對網絡犯罪分子來說有些無利可圖。
然而 Heise.de 並不贊同該公司的說法,畢竟許多企業都在努力監視每一位網站來訪者,這個持續四年的漏洞,很有可能是其展開間諜活動的一個福音。
萬幸的是,在認識到事情的嚴重性之後,卡巴斯基終於聽從了爆料者的要求,在上月發佈了 CVE-2019-8286 安全公告,且相關補丁也已經打上。
當然,為了安全起見,您也可禁用卡巴斯基軟件中提供的相關功能:
"點擊主窗口左下角的齒輪(設置)圖標 -> 點擊‘其它 / 網絡’-> 然後取消‘流量處理’下的‘將腳本注入 Web 流量以與網頁交互’選項。
相關推薦
