В продуктах «Лаборатории Касперского» найдена уязвимость, присутствующая там с 2015 г. Антивирусы компании осуществляют инъекцию кода Javascript в браузер для проверки безопасности посещаемых сайтов. Но этот же код присваивает устройству уникальный идентификатор, с помощью которого его можно отследить в интернете.
Уязвимость в «Касперском»
В защитном ПО «Лаборатории Касперского» найдена уязвимость, которая позволяет отслеживать пользователя в интернете. На нее обратил внимание исследователь Рональд Эйкенберг (Ronald Eikenberg), сотрудник немецкого издания c't. Уязвимости был присвоен номер CVE-2019-8286.
В целях обнаружения вредоносной активности на посещаемых сайтах, ПО «Лаборатории» осуществляет инъекцию кода Javascript в интернет-браузер. Код дает возможность понять, является ли тот или иной сайт безопасным.
Проблема в том, что этот же код присваивает устройству уникальный идентификатор, который может быть считан любым сайтом и использован для слежки за пользователем в интернете. Код и идентификатор могут выглядеть так:
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Когда пользователь повторно посещает один и тот же сайт, или заходит на другой сайт того же оператора, эти ресурсы видят, что это одно и то же устройство. Режим «Инкогнито» не помогает, пишет Эйкенберг, и от того, какой именно браузер используется, тоже ничего не зависит.
Оценка угрозы
ПО «Лаборатории» использует инъекцию кода Javascript с осени 2015 г. Она применяется в ряде продуктов, включая Kaspersky Lab Internet Security и Kaspersky Lab Free Anti-Virus. Эйкенберг попробовал создать сайт, чтобы посмотреть, сможет ли он извлекать и считывать уникальные идентификаторы. Исследователь довольно быстро добился успеха и задался вопросом, раз ему понадобилось на это так мало времени, не мог ли кто-нибудь еще использовать этот метод за последние четыре года.
ПО «Лаборатории Касперского» позволяет следить за пользователем в интернете
Однако «Лаборатория» полагает, что уязвимость не представляет собой значительный угрозы. Согласно заявлению компании, она исследовала проблему и пришла к выводу, что такой сценарий нарушения приватности теоретически возможен, но вряд ли использовался на практике в связи со сложностью реализации и невысокой полезностью для преступников.
Способы защиты
Получив информацию от Эйкенберга, «Лаборатория» выпустила соответствующий патч в июне 2019 г. Однако защититься от угрозы пользователь легко может и вручную — для этого достаточно зайти в «Настройки», пройти в «Дополнительные», затем в «Сеть», потом в «Обработку трафика» и снять там галочку с пункта «Вводить скрипт в веб-трафик для взаимодействия с веб-страницами».
Тем не менее, компания изменила процесс проверки сайтов, удалив уникальный идентификатор. Теперь всем устройствам, на которых работает ПО «Лаборатории», присваивается одинаковый идентификатор. Эйкенберг считает и этот способ недостаточно безопасным, потому что идентификатор выдает злоумышленнику, антивирус какого именно производителя используется на устройстве. Это может быть ценной информацией для хакера.
«Они могут использовать эту информацию для рассылки вредоносного ПО, спроектированного специально под защитный продукт, или перенаправить браузер на подходящую мошенническую страницу. Представьте себе что-то типа: «Срок действия вашей лицензии от «Лаборатории Касперского» истек. Пожалуйста, введите номер кредитной карты, чтобы возобновить подписку».