Про те, що Kaspersky Lab і вся його лінійка продуктів пов’язана з російськими спецслужбами, українські фахівці попереджали давно. Про те, що ці антивіруси сильно навантажують навіть комп’ютери середньої потужності, теж попереджали. Про те, що там купа “дірок”- теж говорили. І ось наочний доказ останнього – знайдена ще одна вразливість, яка пов’язана з відстежуванням користувачів на сайтах. Про це  розповідає The Hacker News.

У цифрову епоху успіх майже кожної компанії в галузях маркетингу, реклами та аналітики базується на відстеженні користувачів у мережі Інтернет для  виявлення та вивчення їхніх інтересів, а пізніше – для надання цільової реклами. Більшість цих рішень засновані на сторонніх файлах cookie – тобто, cookie на домені, відмінному від того, який Ви переглядаєте, що дозволяє компаніям, включаючи Google і Facebook, створювати “відбитки пальців”, щоб відстежувати кожен Ваш крок на багатьох сторонніх сайтах.

Однак, якщо Ви використовуєте антивірус Kaspersky Antivirus – там справи з приватністю ще гірше, ніж очікували дослідники з кібербезпеки. Вразливість програмного забезпечення, яку виявили нещодавно, відкрила унікальний ідентифікатор, пов’язаний з Вами – на кожному веб-сайті, який Ви відвідували за останні чотири роки. Це дозволило цим сайтам та іншим стороннім службам відстежувати Вас в Інтернеті, навіть якщо Ви вчасно заблокували або видалили сторонні файли cookie.

Вразливість ідентифікували як CVE-2019-8286. Вона полягає в тому, як працює модуль сканування URL-адрес,  який називається Kaspersky URL Advisor, інтегрований у антивірусне програмне забезпечення. Її виявив ​​незалежний дослідник з кібербезпеки Рональд Ейкенберг.

За замовчуванням програма безпечного серфінгу Інтернету, що входить до продуктів Kaspersky, вводить віддалений JavaScript-файл безпосередньо в HTML-код кожної веб-сторінки, яку Ви відвідуєте – для всіх веб-браузерів, навіть в режимі анонімного перегляду, намагаючись перевірити, чи належить сторінка до списку підозрілих і фішингові веб-адреси. Що ж, це не дивно, оскільки більшість рішень щодо безпеки в Інтернеті працюють так само, як слідкувати за веб-сторінками на предмет шкідливого вмісту.

kaspersky antivirus javascript

Однак Ейкенберг виявив, що URL-адреса цього JavaScript-файлу містить рядок, унікальний для кожного користувача Kaspersky – свого роду UUID (Універсально унікальний ідентифікатор), який легко може бути захоплений веб-сайтами, іншими сторонніми рекламними та аналітичними службами, ставлячи конфіденційність користувачів під загрозою.

“Це погана ідея, тому що інші скрипти, що працюють у контексті домену веб-сайту, можуть отримати доступ до HTML-коду в будь-який час – і, таким чином, до введеного ідентифікатора Kaspersky. Це означає простою мовою, що будь-який веб-сайт може просто прочитати ідентифікатор Kaspersky користувача і неправильно використовувати його для відстеження , – каже дослідник. – Ідентифікатори зберігалися і не змінювалися через кілька днів. Це дало зрозуміти, що ідентифікатор може бути назавжди призначений для певного комп’ютера”.

Ейкенберг повідомив про свої висновки в Kaspersky Lab, яка визнала проблему та виправила її лише минулого місяця, призначивши постійне значення (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) для всіх користувачів, а не використовуючи UUID у URL-адресі JavaScript.

“Kaspersky вирішив проблему безпеки (CVE-2019-8286) у своїх продуктах, яка може потенційно порушити конфіденційність користувачів, використовуючи унікальний ідентифікатор продукту, який був доступний третім сторонам”, – йдеться в повідомленні компанії. – Ця проблема була класифікована як розголошення даних користувачів. Зловмиснику, щоб її використати, потрібно підготувати та розгорнути шкідливий сценарій на веб-серверах, звідки він буде відслідковувати користувача”.

Однак функція Kaspersky URL Advisor все ще дозволяє веб-сайтам та стороннім сервісам з’ясувати, чи відвідувач встановив програмне забезпечення Kaspersky у своїй системі, що може бути, на думку дослідника,  використане шахраями та кіберзлочинцями.

“Зловмисник може використовувати цю інформацію для переналаштування шкідника, пристосованого до захисного програмного забезпечення, або перенаправити його на відповідну  шахрайську сторінку з гаслом: Ваш термін дії ліцензії Касперського минув. Введіть номер своєї кредитної картки, щоб поновити підписку”, – попередив Ейкенберг.

kaspersky antivirus javascript injection

Користувачі, які зазнали шкоди, зможуть отримати оновлені версії продуктів:  Kaspersky Antivirus, Internet Security, Total Security, Free Antivirus та Small Office Security. А користувачі, які хочуть взагалі відключити це відстеження, можуть вручну відключити функцію URL Advisor з налаштувань → Додаткові → Мережі → Зняти прапорець для обробки трафіку, як показано на знімку екрана вище.

Однак фахівці рекомендують просто не користуватися таким антивірусом та іншими продуктами Kaspersky Lab з огляду на перелічені на початку матеріалу причини. Особливо якщо Ви працюєте з конфіденційною інформацією

Зверніть увагу, Android-пристрої можуть постачатися із вбудованим шкідливим ПЗ і бекдорами через недостатній контроль виробників і постачальників.

Дослідники з безпеки з Pen Test Partners виявили численні уразливості в маршрутизаторах 4G від різних компаній, експлуатація яких дозволяє отримати доступ до конфіденційної інформації користувачів.

Facebook платила сотням сторонніх підрядників за розшифровку аудіозаписів користувачів своїх сервісів. Про це повідомили виданню Bloomberg співробітники, які побажали зберегти анонімність.

До речі, дослідники з компанії Palo Alto Networks виявили 34 мільйони уразливостей в великих хмарних сервісах. За словами фахівців, проблеми з’явилися не з вини провайдерів, а через додатки, які розгортають клієнти в хмарі.

Нагадаємо, з мобільними додатками для Android можна буде працювати за комп’ютером із Windows або macOS. Так, під час заходу Samsung Unpacked 2019 корейський гігант представив додаток Samsung DeX for PC.

Автор: Максим Побокін