雷锋网消息,美国时间 8月15日,据外媒 the Hacker News 报道,研究人员在卡巴斯基反病毒软件中发现了一个漏洞,该漏洞允许访问过的网站和商业第三方服务在线跟踪用户。
这个漏洞为CVE-2019-8286,存在于卡巴斯基反病毒软件的名为“ Kaspersky URL Advisor”的 URL 扫描模块中。该漏洞暴露了过去 4 年用户访问过的每个网站的关联唯一标识符,该标识符的暴露允许访问过的网站和商业第三方服务在线跟踪用户。
在默认情况下,卡巴斯基互联网安全解决方案将远程托管的 JavaScript 文件直接注入用户访问的每个网页的HTML代码中,且适用于所有浏览器,即使是在隐身模式下,因为它试图检查该网页是否属于可疑列表和网络钓鱼网址。但是,安全人员发现,这个 JavaScript 文件的 URL 包含一个字符串,该字符串对于每个卡巴斯基用户都是唯一的,可以其他第三方广告和分析服务轻松捕获的UUID(通用唯一标识符),造成隐私泄漏。
“这样有点蠢,因为运行的其他脚本可以随时访问HTML代码 ,这意味着任何网站都可以简单地读取用卡巴斯基的用户ID并且跟踪。这些 ID 在几天之后没有变化,说明这个 ID 可以永久分配给特定的计算机。”研究人员说。
雷锋网注意到,研究人员向卡巴斯基报告了他发现的漏洞,卡巴斯基也坦诚承认了这个问题并在上个月通过为所有用户分配一个恒定值(FD126C42-EBFA-4E12-B309-BB3FDD723AC1)而不是在 JavaScript URL 中使用 UUID。
“卡巴斯基已在其产品中修复了这个安全问题(CVE-2019-8286),该问题可能通过使用第三方可访问的唯一产品 ID 来潜在地损害用户隐私。”卡巴斯基在其公告中承认。
但是,卡巴斯基 URL Advisor 功能仍然允许网站和第三方服务能够查明访问者是否在其系统上安装了卡巴斯基软件,研究人员认为该软件可能间接被诈骗和网络犯罪分子滥用。
研究人员提醒:“攻击者可以使用此信息将其重定向到合适的诈骗页面,比如谎称‘您的卡巴斯基许可证已过期,请输入您的信用卡号码以续订订阅’。”
目前,卡巴斯基已经向受影响的用户提供了 Kaspersky Antivirus、Internet Security、Total Security、Free Antivirus 和 Small Office Security 产品的更新版本。
雷锋网提醒,如果用花想要完全禁用此跟踪功能,可以自己手动设置:附加→网络→取消检查流量处理框手动禁用 URL Advisor 功能。
雷锋网编译自:the Hacker News 。