Kaspersky pozwalał śledzić użytkowników w Sieci, także w trybie incognito

Maciej Olanicki, 19.08.2019 r.

Coraz powszechniejsze jest przekonanie, że oprogramowanie antywirusowe to dziś przeżytek. Najskuteczniejszą ochronę mają oferować same systemy operacyjne, zaś oprogramowanie firm trzecich w celu uszczelnienia OS-ów często musi je wcześniej rozszczelnić. Warto dodać, że posiadanie na swoim komputerze dodatkowego oprogramowania działającego z najwyższymi uprawnieniami zwiększa powierzchnię ataku. Ale oprogramowanie antywirusowe stwarza także inne niebezpieczeństwa.

Na zagrożenie narażające na szwank bezpieczeństwo i prywatność użytkowników programów antywirusowych firmy Kaspersky natknął się Ronald Eikenberg z redakcji czasopisma c’t. Eikenberg zauważył bowiem, że wszystkie strony, jakie odwiedza, zawierają ten sam skrypt ładowany z serwerów Kaspersky’ego. Jak szybko się okazało, jego działanie polega między innymi na oznaczaniu dodatkowych oznaczeń stron internetowych w wynikach wyszukiwania Google – antywirus informuje w ten sposób użytkownika, które witryny są bezpieczne.

To jednak nie sam skrypt, lecz jego format przyciągnął uwagę badacza:

<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js" charset="UTF-8"></script>

Dziennikarz zauważył, że 128-bitowy ciąg znaków odpowiada formatem uniwersalnym identyfikatorom UUID. Był on wstrzykiwany do wyświetlanych witryn i był dostępny dla innych skryptów działających na stronie. Szybko okazało się, że identyfikator jest unikalny dla każdej maszyny, na której zainstalowany został jakikolwiek program antywirusowy Kaspersky’ego – UUID był taki sam niezależnie od wykorzystywanej przeglądarki czy konta użytkownika systemu operacyjnego, przed identyfikacją nie chroni także tryb incognito. Słowem – Kaspersky nadaje posiadaczom swojej ochrony unikalny identyfikator, umożliwiając śledzenie także firmom trzecim.

Problem został zgłoszony producentowi i otrzymał swoją sygnaturę: CVE-2019-8286. Wydana została już łatka, która częściowo rozwiązuje problem – aktualnie identyfikator wciąż funkcjonuje, ale oznacza wersje zainstalowanego na maszynie programu antywirusowego Kaspersky, a nie samą maszynę. Wciąż może to być dla atakujących pożyteczna wiedza, niemniej nie stanowi już tak rażącego naruszenia prywatności użytkowników, którzy przecież nie po to instalowali dodatkowe oprogramowanie ochronne, by to ułatwiało ich identyfikację w Internecie.

Zobacz też: Open Source na żądanie – Jewgienij Kaspersky ma sposób na rządowe blokady