▲点击上方 雷锋网 关注
研究人员在卡巴斯基反病毒软件中发现了一个漏洞,该漏洞允许访问过的网站和商业第三方服务在线跟踪用户。
文 | 李勤
雷锋网消息,美国时间 8月15日,据外媒 the Hacker News 报道,研究人员在卡巴斯基反病毒软件中发现了一个漏洞,该漏洞允许访问过的网站和商业第三方服务在线跟踪用户。
这个漏洞为CVE-2019-8286,存在于卡巴斯基反病毒软件的名为“ Kaspersky URL Advisor”的 URL 扫描模块中。该漏洞暴露了过去 4 年用户访问过的每个网站的关联唯一标识符,该标识符的暴露允许访问过的网站和商业第三方服务在线跟踪用户。
在默认情况下,卡巴斯基互联网安全解决方案将远程托管的 JavaScript 文件直接注入用户访问的每个网页的HTML代码中,且适用于所有浏览器,即使是在隐身模式下,因为它试图检查该网页是否属于可疑列表和网络钓鱼网址。但是,安全人员发现,这个 JavaScript 文件的 URL 包含一个字符串,该字符串对于每个卡巴斯基用户都是唯一的,可以其他第三方广告和分析服务轻松捕获的UUID(通用唯一标识符),造成隐私泄漏。
“这样有点蠢,因为运行的其他脚本可以随时访问HTML代码 ,这意味着任何网站都可以简单地读取用卡巴斯基的用户ID并且跟踪。这些 ID 在几天之后没有变化,说明这个 ID 可以永久分配给特定的计算机。”研究人员说。
雷锋网注意到,研究人员向卡巴斯基报告了他发现的漏洞,卡巴斯基也坦诚承认了这个问题并在上个月通过为所有用户分配一个恒定值(FD126C42-EBFA-4E12-B309-BB3FDD723AC1)而不是在 JavaScript URL 中使用 UUID。
“卡巴斯基已在其产品中修复了这个安全问题(CVE-2019-8286),该问题可能通过使用第三方可访问的唯一产品 ID 来潜在地损害用户隐私。”卡巴斯基在其公告中承认。
但是,卡巴斯基 URL Advisor 功能仍然允许网站和第三方服务能够查明访问者是否在其系统上安装了卡巴斯基软件,研究人员认为该软件可能间接被诈骗和网络犯罪分子滥用。
研究人员提醒:“攻击者可以使用此信息将其重定向到合适的诈骗页面,比如谎称‘您的卡巴斯基许可证已过期,请输入您的信用卡号码以续订订阅’。”
目前,卡巴斯基已经向受影响的用户提供了 Kaspersky Antivirus、Internet Security、Total Security、Free Antivirus 和 Small Office Security 产品的更新版本。
雷锋网提醒,如果用花想要完全禁用此跟踪功能,可以自己手动设置:附加→网络→取消检查流量处理框手动禁用 URL Advisor 功能。
雷锋网编译自:the Hacker News 。
推荐阅读
▎
联通5G套餐最低190元;
北京将允许外资提供VPN服务;
中国网民人均装56款App
▎
上市一年多,富士康的工业互联网做得如何?
▎首款鸿蒙OS产品今日开售;雷军:山寨机已被彻底消灭;新iPhone或增加墨绿色
▎华为抢位AR高精度地图
▎手机厂商们为什么纷纷去做电视了?「AI投研邦」将在近期上线CCF GAIR 2019峰会完整视频与各大主题专场白皮书,包括机器人前沿专场、智能交通专场、智慧城市专场、AI芯片专场、AI金融专场、AI医疗专场、智慧教育专场等。「AI投研邦」会员们可免费观看全年峰会视频与研报内容,扫码进入会员页面了解更多,或私信助教小慕(微信:moocmm)咨询。
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
