欢迎光临!

正文

卡巴斯基修复四大哥漏洞 注入HTML源码的唯一标识符会泄露用户隐私

Aug 20
admin 2019-08-20 11:59 尊龙d88和AGd888   浏览量:   次

kaspersky-website-en-8d9bcc2e65deb6a8.png

(题图 via Heise.de)

行为 c't issue 3 / 2019 测试第一片面,幼编会按期对逆病毒柔件进走测试,以不悦目察其是否实走了企业所声称的坦然允诺。

在刚最先的几周和几个月,事情犹如波澜不惊 —— 卡巴斯基柔件的外现,与 Windows Defender 基原形通或差铁汉意。

然而骤然有镇日,Ronald Eikenberg 在查望了肆意网站的 HTML 源码后发现,卡巴斯基竟然为其注入了如下代码:

<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js" charset="UTF-8"></script>

隐微,涉猎器正在添载来自 Kaspersky 域、名为 main.js 的外部 JavaScript脚本。尽管 JS 代码并不稀奇,但当深入查望涉猎器中表现的其它网站的 HTML 源码时,几乎都有同样清新的发现。

毫有时外的是,Ronald Eikenberg 竟然在幼我网银网站上,也查望到了来自卡巴斯基的脚本。所以其断定 —— 这件事能够与卡巴斯基柔件有些有关。

为了验证,Ronald Eikenberg 尝试了 Mozilla Firefox、Microsoft Edge、以及 Opera 涉猎器,效果发现相通的代码随处可见。

鉴于异国装配疑心的涉猎器扩展程序,他只能轻易理解为是卡巴斯基逆病毒柔件在操纵现在的网络流量 —— 在未获得用户准许的情况下,卡巴斯基僭越了!

在此事曝光前,很众人能够只会在网银木马类凶意柔件上不悦目察到这栽走为,以图窃取或篡改关键新闻(比如悄悄地变更了网银转账的收款方)。现在的题目是 —— 卡巴斯基你到底在干嘛呢?!

通过对 main.js 脚本睁开的一番分析,可知卡巴斯基会在判别某个‘清洁’网站链接后,在地址栏表现带有谷歌搜索效果的绿色图标。

然而还有一个幼细节 —— 添载卡巴斯基脚本的地址, 尊龙人生手机版也包含了一段疑心的字符串:

https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js

tn_poc-ff-private_ast_SC-79510f6cc4b8f49c.jpeg

链接添粗片面,隐微属于某栽“通用唯一标识符”(UUID)。但是行为一款计算机坦然柔件,卡巴斯基要拿这串字符往识别或追踪谁呢?

扩展扩展验证,Ronald Eikenberg 在其它计算机上也装配了卡巴斯基柔件,发现它切实会向其它体系同样注入 JavaScript 代码、并且属意到了一个至关重要的不同。

源地址中的 UUID,在每台体系上都是纷歧样的。这些 ID 属于持久性的标识,即便过了几天也不会发生转折。隐微,每台计算机都会拥有本身的长期分配 ID 。

而将这串 UUID 直接注入每个网站的 HTML 源码,绝对是一个糟糕头顶的现在的。由于在网站域上下文环境中运走的其它脚本,都能够随时访问整个 HTML 源,尊龙d88和AGd888甚至读取卡巴斯基这串 UUID 。

这意味着任何网站都能够读取并追踪卡巴斯基柔件用户的网络 ID,只要另一个网站检测到了联相符字符串,就能认定其访问源来自联相符台计算机。

基于这栽倘若,卡巴斯基隐微是打造了一套危险的追踪机制,甚至比传统的 cookie 更添极端 —— 就算你切换了涉猎器,也会被追踪并识别到在行使联相符台设备、让涉猎器的隐身模式形同虚设。

为避免更众用户陷入风险,c't 决定立即向卡巴斯基通报这一发现、并且快捷得到了对方的应复,称其已着手调查此事。

大约两周后,卡巴斯基莫斯科总部对这一案例进走了分析,并证实了 c't 的这一发现。

该题目影响一切行使 Windows 版卡巴斯基坦然柔件的消耗者版本,从入门机的免费版、互联网坦然套装(KIS)、直至周详防护版(Total Security)。

此外,卡巴斯基幼企业坦然版(Small Office Security)也受到了该题目的影响,导致数百万用户展现于风险之中。

Heise.de 调查表现,卡巴斯基从 2015 年秋发布的“2016”系列版本中引入了该漏洞。但既然清淡网友都能在有时间发现这个漏洞,包括营销机构在内的第三方,也极有能够早就睁开了田园行使。

即便这样,卡巴斯基仍外示这栽抨击过于复杂,所以发生的概率极矮,对网络作恶分子来说有些无利可图。

然而 Heise.de 并不赞许该公司的说法,毕竟很众企业都在竭力监视每一位网站来访者,这个不息四年的漏洞,很有能够是其睁开间谍运动的一个福音。

万幸的是,在意识到事情的重要性之后,卡巴斯基终于遵命了爆料者的请求,在上月发布了 CVE-2019-8286 坦然公告,且有关补丁也已经打上。

自然,为了坦然首见,您也可禁用卡巴斯基柔件中挑供的有关功能:

点击主窗口左下角的齿轮(设立)图标 -> 点击‘其它 / 网络’-> 然后作废‘流量处理’下的‘将脚本注入 Web 流量以与网页交互’选项。

,,