卡巴斯基修復四年老漏洞注入HTML源碼的唯一標識符會洩露用戶隱私
多年來,卡巴斯基反病毒軟件一直在各項安全測試中名列前茅。然而近日曝出的數據洩露事件,竟使得第三方能夠長期監視用戶的網絡活動。德國網站Heise.de編輯Ronald Eikenberg指出,在其辦公室電腦上的一個奇怪發現,讓他知曉卡巴斯基反病毒軟件造成了驚人的數據洩露。
(題圖via Heise.de)
作為c’t issue 3 / 2019 測試第一部分,小編會定期對反病毒軟件進行測試,以觀察其是否履行了企業所聲稱的安全承諾。
在剛開始的幾周和幾個月,事情似乎波瀾不驚——卡巴斯基軟件的表現,與Windows Defender基本相同或差強人意。
然而忽然有一天,Ronald Eikenberg 在查看了任意網站的HTML源碼後發現,卡巴斯基竟然為其註入瞭如下代碼:
<script type=”text/javascript” src=”https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js” charset=”UTF-8 “></script>
顯然,瀏覽器正在加載來自Kaspersky域、名為main.js的外部JavaScript腳本。儘管JS代碼並不罕見,但當深入查看瀏覽器中顯示的其它網站的HTML源碼時,幾乎都有同樣奇怪的發現。
毫無意外的是,Ronald Eikenberg 竟然在個人網銀網站上,也查看到了來自卡巴斯基的腳本。因此其斷定—— 這件事可能與卡巴斯基軟件有些關聯。
為了驗證,Ronald Eikenberg 嘗試了Mozilla Firefox、Microsoft Edge、以及Opera瀏覽器,結果發現相同的代碼隨處可見。
鑑於沒有安裝可疑的瀏覽器擴展程序,他只能簡單理解為是卡巴斯基反病毒軟件在操縱當前的網絡流量—— 在未獲得用戶許可的情況下,卡巴斯基僭越了!
在此事曝光前,許多人可能只會在網銀木馬類惡意軟件上觀察到這種行為,以圖竊取或篡改關鍵信息(比如悄悄地變更了網銀轉賬的收款方)。現在的問題是——卡巴斯基你到底在幹嘛呢?!
經過對main.js 腳本展開的一番分析,可知卡巴斯基會在判別某個’乾淨’網站鏈接後,在地址欄顯示帶有谷歌搜索結果的綠色圖標。
然而還有一個小細節—— 加載卡巴斯基腳本的地址,也包含了一段可疑的字符串:
https://gc.kis.v2.scr.kaspersky-labs.com/ 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615 /main.js
鏈接加粗部分,顯然屬於某種“通用唯一標識符”(UUID)。但是作為一款計算機安全軟件,卡巴斯基要拿這串字符去識別或追踪誰呢?
擴展擴展驗證,Ronald Eikenberg 在其它計算機上也安裝了卡巴斯基軟件,發現它確實會向其它系統同樣注入JavaScript 代碼、並且留意到了一個至關重要的區別。
源地址中的UUID,在每台系統上都是不一樣的。這些ID 屬於持久性的標識,即便過了幾天也不會發生改變。顯然,每台計算機都會擁有自己的永久分配ID 。
而將這串UUID直接注入每個網站的HTML源碼,絕對是一個糟糕頭頂的主意。因為在網站域上下文環境中運行的其它腳本,都可以隨時訪問整個HTML源,甚至讀取卡巴斯基這串UUID 。
這意味著任何網站都可以讀取並追踪卡巴斯基軟件用戶的網絡ID,只要另一個網站檢測到了同一字符串,就能認定其訪問源來自同一台計算機。
基於這種假設,卡巴斯基顯然是打造了一套危險的追踪機制,甚至比傳統的cookie 更加極端—— 就算你切換了瀏覽器,也會被追踪並識別到在使用同一台設備、讓瀏覽器的隱身模式形同虛設。
為避免更多用戶陷入風險,c’t決定立即向卡巴斯基通報這一發現、並且迅速得到了對方的答复,稱其已著手調查此事。
大約兩週後,卡巴斯基莫斯科總部對這一案例進行了分析,並證實了c’t 的這一發現。
該問題影響所有使用Windows 版卡巴斯基安全軟件的消費者版本,從入門機的免費版、互聯網安全套裝(KIS)、直至全面防護版(Total Security)。
此外,卡巴斯基小企業安全版(Small Office Security)也受到了該問題的影響,導致數百萬用戶暴露於風險之中。
Heise.de調查顯示,卡巴斯基從2015年秋發布的“2016”系列版本中引入了該漏洞。但既然普通網友都能在無意間發現這個漏洞,包括營銷機構在內的第三方,也極有可能早就展開了野外利用。
即便如此,卡巴斯基仍表示這種攻擊過於復雜,因此發生的概率極低,對網絡犯罪分子來說有些無利可圖。
然而Heise.de 並不贊同該公司的說法,畢竟許多企業都在努力監視每一位網站來訪者,這個持續四年的漏洞,很有可能是其展開間諜活動的一個福音。
萬幸的是,在認識到事情的嚴重性之後,卡巴斯基終於聽從了爆料者的要求,在上月發布了CVE-2019-8286安全公告,且相關補丁也已經打上。
當然,為了安全起見,您也可禁用卡巴斯基軟件中提供的相關功能:
點擊主窗口左下角的齒輪(設置)圖標-> 點擊’其它/ 網絡’-> 然後取消’流量處理’下的’將腳本注入Web 流量以與網頁交互’選項。