尷尬了，卡巴斯基反病毒軟件存在漏洞允許在線跟蹤用戶

雷鋒網消息，美國時間 8月15日，據外媒 the Hacker News 報道，研究人員在卡巴斯基反病毒軟件中發現了一個漏洞，該漏洞允許訪問過的網站和商業第三方服務在線跟蹤用戶。

這個漏洞為CVE-2019-8286，存在于卡巴斯基反病毒軟件的名為“ Kaspersky URL Advisor”的 URL 掃描模塊中。該漏洞暴露了過去 4 年用戶訪問過的每個網站的關聯唯一標識符，該標識符的暴露允許訪問過的網站和商業第三方服務在線跟蹤用戶。

在默認情況下，卡巴斯基互聯網安全解決方案將遠程托管的 JavaScript 文件直接注入用戶訪問的每個網頁的HTML代碼中，且適用于所有瀏覽器，即使是在隱身模式下，因為它試圖檢查該網頁是否屬于可疑列表和網絡釣魚網址。但是，安全人員發現，這個 JavaScript 文件的 URL 包含一個字符串，該字符串對于每個卡巴斯基用戶都是唯一的，可以其他第三方廣告和分析服務輕松捕獲的UUID（通用唯一標識符），造成隱私泄漏。

“這樣有點蠢，因為運行的其他腳本可以隨時訪問HTML代碼 ，這意味著任何網站都可以簡單地讀取用卡巴斯基的用戶ID并且跟蹤。這些 ID 在幾天之后沒有變化，說明這個 ID 可以永久分配給特定的計算機。”研究人員說。

雷鋒網注意到，研究人員向卡巴斯基報告了他發現的漏洞，卡巴斯基也坦誠承認了這個問題并在上個月通過為所有用戶分配一個恒定值（FD126C42-EBFA-4E12-B309-BB3FDD723AC1）而不是在 JavaScript URL 中使用 UUID。

“卡巴斯基已在其產品中修復了這個安全問題（CVE-2019-8286），該問題可能通過使用第三方可訪問的唯一產品 ID 來潛在地損害用戶隱私。”卡巴斯基在其公告中承認。

但是，卡巴斯基 URL Advisor 功能仍然允許網站和第三方服務能夠查明訪問者是否在其系統上安裝了卡巴斯基軟件，研究人員認為該軟件可能間接被詐騙和網絡犯罪分子濫用。

研究人員提醒：“攻擊者可以使用此信息將其重定向到合適的詐騙頁面，比如謊稱‘您的卡巴斯基許可證已過期，請輸入您的信用卡號碼以續訂訂閱’。”

目前，卡巴斯基已經向受影響的用戶提供了 Kaspersky Antivirus、Internet Security、Total Security、Free Antivirus 和 Small Office Security 產品的更新版本。

雷鋒網提醒，如果用花想要完全禁用此跟蹤功能，可以自己手動設置：附加→網絡→取消檢查流量處理框手動禁用 URL Advisor 功能。

雷鋒網編譯自：the Hacker News 。

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。