卡巴斯基安全浏览器_卡巴斯基杀毒软件被曝出用户上网痕迹泄露漏洞

近期,国外安全研究人员曝出卡巴斯基杀毒软件的脚本中存在一个独特而唯一的标识符,可导致用户在过去4年中访问过的每个网站都被泄露。

该漏洞被标记为CVE-2019-8286,其中所涉及的独特标识可让被访问过的网站和第三方商业公司在线跟踪用户。

更严重的是,即使用户删除了cookie,也能被跨站点跟踪。

该漏洞是由安全研究员Ronald Eikenberg发现的,位于杀毒软件的URL扫描模块,被称为Kaspersky URL Advisor。

卡巴斯基互联网安全解决方案会将远程托管的javascript文件直接注入到用户访问的每个web页面的HTML代码中,以此检查用户访问的页面是否处于“黑名单”(例如钓鱼网站)。

通过分析这个javascript文件中的URL字符串,Eikenberg发现它包含一个特殊而唯一的字符串,这就像是每个卡巴斯基用户的标记,可被用于跟踪上网痕迹。特别是可以很轻易的就被网站、广告和分析等商业服务用于实时跟踪用户。

在一篇文章中,研究人员表示:“我对卡巴斯基的脚本main.js进行过仔细分析,它会判定用户访问的链接是否是一个合法的网站,如果是,它会显示带有谷歌搜索结果的绿色图标。但除此之外,我还发现一个小细节:加载卡巴斯基脚本的地址中包含一个可疑字符串:

https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js

上述网址中那个奇怪的字符串貌似是通用架构,代表一种唯一标识符(UUID),就相当于身份证号,对用户进行唯一标识。

08d2ac28c2d02a9512de39b8c8abc4db.png


Eikenberg也在其他电脑上安装了卡巴斯基杀毒软件,发现每台电脑上的UUID都不一样。他还注意到这个UUID并不会经常变化,应该是和卡巴斯基杀毒软件客户端永久绑定。

“这真的是一个非常糟糕的做法。网页中运行的其他javascript脚本随时可以获取这个UUID,所有的卡巴斯基用户都会在不知情的情况下被跟踪。”

任意商业服务公司可从旗下所掌控网站捕获的UUID推测出用户的网页浏览痕迹。卡巴斯基为了排除cookie的影响,更好地跟踪用户,创建了一种非常危险的机制,导致其他网站也可以跟踪卡巴斯基的用户,即使切换浏览器、删除上网痕迹都不能阻止,这也让浏览器的隐身模式变成摆设。

Eikenberg向卡巴斯基报告了这个问题,最终卡巴斯基于7月份解决完成了修复。现在所有用户都拥有相同的值(FD126C42-EBFA-4E12-B309-BB3FDD723AC1)。

在卡巴斯基的安全建议中写道:“这个漏洞被归类为用户数据泄露。攻击者需在web服务器上部署恶意脚本,从而跟踪用户。”

受影响的产品有:

  • Kaspersky Anti-Virus up to 2019
  • Kaspersky Internet Security up to 2019
  • Kaspersky Total Security up to 2019
  • Kaspersky Free Anti-Virus up to 2019
  • Kaspersky Small Office Security up to 6

安全专家还指出,Kaspersky URL Advisor功能仍然可让被访问的网站检测访问者是否在电脑上安装了卡巴斯基杀毒软件,这有可能使访问者成为攻击者的潜在目标。

“是否安装了卡巴斯基杀毒软件对攻击者来说是非常有价值的信息。他们可能会利用这点专门攻击无保护的机器,或者将网页重定向到一个钓鱼页面,欺骗用户输入系统密码以便继续使用卡巴斯基。我也向卡巴斯基报告了这些潜在的安全问题。”

你可以通过settings→ additional→ network→ un-check禁用URL Advisor功能。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:卡巴斯基杀毒软件被曝出用户上网痕迹泄露漏洞|NOSEC安全讯息平台 - 白帽汇安全研究院

原文:https://securityaffairs.co/wordpress/89917/hacking/kaspersky-antivirus-flaw.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/433973.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

栅格矢量化_学会用栅格系统,普通LOGO秒变高大上

经常看到很多 LOGO 初看一般,但只要加上了栅格线,感觉瞬间就上了一个档次。有个比较出名的例子,就是锤子手机的 LOGO。是不是觉得右边的栅格线加上之后,瞬间高大上了许多?那这些栅格线真的只能拿来展示吗?有…

移动端怎么让底部固定_移动端排名应该怎么做?两种匹配移动端实战排名干货分享!...

关于移动端优化的问题、最近一些兄弟一直在问我应该怎么做?毕竟现在是手机的时代、绝大部分情况下、PC显得有点鸡肋!在讲移动端排名之前、逆冬先来讲两个容易被大家搞错的问题(移动端)。1、我观察现在的移动端都是独立的http://m.xxx.com,是不是百度喜欢独立的移动…

Linux绘图函数与驱动,Linux中与驱动相关的ioctl函数

一: ioctl函数的作用ioctl用于向设备发控制和配置命令 ,有些命令也需要读写一些数据,但这些数据是不能用read/write读写的,称为Out-of-band数据。也就是说,read/write读写的数据是in-band数据,是I/O操作的主体&…

给管道注册事件,用于用户是否登录!

1.一个网站项目的自定义cs文件,如图: 2.CheckRight.cs中的代码如下: public class CheckRight : IHttpModule{ public void Dispose() { } public void Init(HttpApplication app) { app.AcquireRequestState new EventHandler(app_AcquireR…

css 商城 两列_【云控基础】HTML+CSS基础入门

课程大纲:第一部分:课程概述1、什么是HTML、CSS,能做什么?2、HTML、HTML5、H5的区别3、HTMLCSS全览4、HTML、CSS的学习路径和学习方法第二部分:HTMLCSS开发环境搭建1、谷歌浏览器的安装和简单使用2、Sublime Text 编辑…

搜索不包含关键词_亚马逊listing关键词优化

亚马逊是一个客户至上的平台,它将客户体验置于一切之上。根据亚马逊的说法,消费者找到产品的速度越快,他们的购物体验就会越好。因此,亚马逊的A9算法被设计用来寻找对客户购物体验有价值的相关listing。如果你想提高你的搜索排名&…

excel文件损坏修复绝招_高手都在用的PDF转换PPT、WORD、EXCEL工具

点击上方关注我,UUUhooo,你最好了……首先说标题提到转换是在格式间转换,而不是软件间转换,所以标题是为了大多数人认知方便而起的,PDF是一种文档格式,全程叫便携式文档格式,而打开它的软件叫PD…

cowboy源码分析

2013-01-21 by 谢鸿锋   原创文章,转载请注明:转载自Erlang云中漫步 目录 一、概述 二、ranch源码分析 三、cowboy源码分析 1、Request调度规则 2、http协议实现分析 3、http协议之chunked编码 4、http协议之long_polling 5、http协议之websocket 6、…

linux解压tz zip,TZ 文件扩展名: 它是什么以及如何打开它?

TZ 疑难解答常见的 TZ 打开问题Smith Micro StuffIt Deluxe 已删除尝试打开 TZ 文件时,您收到错误 “无法打开 TZ 文件类型”。 发生这种情况时,通常是由于 %%os%% 中缺少 Smith Micro StuffIt Deluxe。 操作系统不知道如何处理你的 TZ 文件,…

无法定位程序输入点 except_软件测试中的功能测试点(三)

testkuaibao|软件测试自学公众号26.输入法半角全角检查再输入信息中,输入一个或连串空格,查看系统如何处理,如对于要求输入符点型数据的项中,输入全角的小数点(“。”或“.”,如4.5);输入全角的空格等。 27…

ASP.NET站点跨子域名单点登陆(SSO)的实现

http://blog.csdn.net/jason_dct/article/details/8502075 ASP.NET站点跨子域名单点登陆(SSO)的实现 在MSDN的文档“配置跨应用程序的 Forms 身份验证(http://msdn2.microsoft.com/zh-CN/library/eb0zx8fc.aspx)” 中,…

linux实验三makefile,实验平台上Makefile详细的解释

作者:甘老师,华清远见嵌入式学院讲师。# CORTEX-A8 PERI DRIVER CODE# VERSION 2.0# ATHUOR www.linuxidc.com# MODIFY DATE#2013.03.28 Makefile/***(下面的解释将用这个的形式进行标注)写好的源文件,要编译成二进制文件.需要指定工具链的,这里指定我们的工具链是…

基础C#总结

由于在学习c#这段视频是为了辅助设计模式的学习,这部分的内容也和VB的内容很大程度上是一样的.虽然在开始的 时候,有些困难.在接触了一些例子和实验后.理解起来变得顺畅了很多.下面是对c#基础内容的总结.很多内容都在VB中有 过接触,所以都是些基础知识.捋一捋,将这些时间脑子的…

e站app改内置hosts_米家踢脚线电暖器E评测:符合现代家居审美 全屋取暖“小钢炮”...

【科技犬】对于没有集中供暖的长江中下游地区居民而言,电暖器是不折不扣的"保命神器"。而在深秋的北方,昼夜温差较大,这种时候使用灵活、易于搬运的电暖器也成为更加明智的选择。在北方每年的冬季,室内温度就直接关系着…

锐炬显卡可以linux吗,Intel Broadwell桌面CPU性能测试:Iris Pro 6200核显无敌了

Intel已经在Computex 2015发布了Broadwell-H桌面版处理器,分别有Core i7-5775C和Core i5-5765C两款,另有3款BGA封装的嵌入式型号。它们的特色是内置Intel史上最强Iris Pro 6200核显、以及较大的超频空间。这款处理器现在已经解禁,发布了评测&…

经纬度转化为xy坐标系_Arcgis添加经纬度矢量点

今天帮舍友作图,才体会到九边说的。学技术使人清醒,清醒的认识自己能力有限。少去网上怨天怨地,踏踏实实去提升实力。这是她给我的原始数据,一堆经纬度点。首先我们先进行数据去重,当然这一步可以根据自己数据考虑是否…

物联网课程学习目标_学习攻略|软件工程统计方法amp;amp;物联网

软件工程统计方法&&物联网任课老师:余松森,葛红课程特点及困难本课程的主要内容涉及统计机器学习方法,以及如何采用Python进行应用实现。同学们在学习中主要遇到以下问题:1、在课程内容方面,课本上的关于pytho…

tdk怎么设置_你真的做好网站的标题、描述、关键词(TDK)设置了吗?

SEO其实是个苦活累活,大部分的工作都是在每日不断的坚持与重复。当然也是个细致活,很多的工作都是对一些细节问题的处理。可能平时你没留意到的地方,就是你的网站数据没能上来的原因。比如说SEO的基础设置:TDK。说到TDK(标题、描述…

C# 监控字段_监控交换机选择:千兆/百兆/核心/PoE/光纤交换机选型指南

我们就交换机选型时的四个主要方面讲一下。01选择千兆还是百兆?视频监控系统的网络中,需要传输大量、持续的视频数据,这就要求交换机具有稳定转发数据的能力。交换机接入的摄像头数量越多,流经该交换机的数据量就会越大。我们可以…

JAVA学习笔记——JAVA基础语法之精华

一、标识符 概念:JAVA里面我们可以给他取名字的(变量、类、方法等等)就是标识符: 注意:1、标识符只能包含字母、数字、下划线还有美元符号$ 2、只能以字母、下划线和美元符号开头 二、变量 概念:JAVA中储存…