近期,国外安全研究人员曝出卡巴斯基杀毒软件的脚本中存在一个独特而唯一的标识符,可导致用户在过去4年中访问过的每个网站都被泄露。
该漏洞被标记为CVE-2019-8286
,其中所涉及的独特标识可让被访问过的网站和第三方商业公司在线跟踪用户。
更严重的是,即使用户删除了cookie,也能被跨站点跟踪。
该漏洞是由安全研究员Ronald Eikenberg发现的,位于杀毒软件的URL扫描模块,被称为Kaspersky URL Advisor。
卡巴斯基互联网安全解决方案会将远程托管的javascript文件直接注入到用户访问的每个web页面的HTML代码中,以此检查用户访问的页面是否处于“黑名单”(例如钓鱼网站)。
通过分析这个javascript文件中的URL字符串,Eikenberg发现它包含一个特殊而唯一的字符串,这就像是每个卡巴斯基用户的标记,可被用于跟踪上网痕迹。特别是可以很轻易的就被网站、广告和分析等商业服务用于实时跟踪用户。
在一篇文章中,研究人员表示:“我对卡巴斯基的脚本main.js
进行过仔细分析,它会判定用户访问的链接是否是一个合法的网站,如果是,它会显示带有谷歌搜索结果的绿色图标。但除此之外,我还发现一个小细节:加载卡巴斯基脚本的地址中包含一个可疑字符串:
https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
上述网址中那个奇怪的字符串貌似是通用架构,代表一种唯一标识符(UUID),就相当于身份证号,对用户进行唯一标识。
Eikenberg也在其他电脑上安装了卡巴斯基杀毒软件,发现每台电脑上的UUID
都不一样。他还注意到这个UUID
并不会经常变化,应该是和卡巴斯基杀毒软件客户端永久绑定。
“这真的是一个非常糟糕的做法。网页中运行的其他javascript脚本随时可以获取这个UUID
,所有的卡巴斯基用户都会在不知情的情况下被跟踪。”
任意商业服务公司可从旗下所掌控网站捕获的UUID
推测出用户的网页浏览痕迹。卡巴斯基为了排除cookie的影响,更好地跟踪用户,创建了一种非常危险的机制,导致其他网站也可以跟踪卡巴斯基的用户,即使切换浏览器、删除上网痕迹都不能阻止,这也让浏览器的隐身模式变成摆设。
Eikenberg向卡巴斯基报告了这个问题,最终卡巴斯基于7月份解决完成了修复。现在所有用户都拥有相同的值(FD126C42-EBFA-4E12-B309-BB3FDD723AC1
)。
在卡巴斯基的安全建议中写道:“这个漏洞被归类为用户数据泄露。攻击者需在web服务器上部署恶意脚本,从而跟踪用户。”
受影响的产品有:
- Kaspersky Anti-Virus up to 2019
- Kaspersky Internet Security up to 2019
- Kaspersky Total Security up to 2019
- Kaspersky Free Anti-Virus up to 2019
- Kaspersky Small Office Security up to 6
安全专家还指出,Kaspersky URL Advisor功能仍然可让被访问的网站检测访问者是否在电脑上安装了卡巴斯基杀毒软件,这有可能使访问者成为攻击者的潜在目标。
“是否安装了卡巴斯基杀毒软件对攻击者来说是非常有价值的信息。他们可能会利用这点专门攻击无保护的机器,或者将网页重定向到一个钓鱼页面,欺骗用户输入系统密码以便继续使用卡巴斯基。我也向卡巴斯基报告了这些潜在的安全问题。”
你可以通过settings→ additional→ network→ un-check
禁用URL Advisor功能。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:卡巴斯基杀毒软件被曝出用户上网痕迹泄露漏洞|NOSEC安全讯息平台 - 白帽汇安全研究院
原文:https://securityaffairs.co/wordpress/89917/hacking/kaspersky-antivirus-flaw.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务