多年來,卡巴斯基反病毒軟體一直在各項安全測試中名列前茅。然而近日曝出的資料洩露事件,竟使得第三方能夠長期監視使用者的網路活動。
德國網站 Heise.de 編輯 Ronald Eikenberg 指出,在其辦公室電腦上的一個奇怪發現,讓他知曉卡巴斯基反病毒軟體造成了驚人的資料洩露。
(題圖 via Heise.de)
在剛開始的幾周和幾個月,事情似乎波瀾不驚 —— 卡巴斯基軟體的表現,與 Windows Defender 基本相同或差強人意。
然而忽然有一天,Ronald Eikenberg 在查看了任意網站的 HTML 原始碼後發現,卡巴斯基竟然為其注入瞭如下程式碼:
<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js" charset="UTF-8"></script>
顯然,瀏覽器正在載入來自 Kaspersky 域、名為 main.js 的外部 JavaScript指令碼。儘管 JS 程式碼並不罕見,但當深入檢視瀏覽器中顯示的其它網站的 HTML 原始碼時,幾乎都有同樣奇怪的發現。
毫無意外的是,Ronald Eikenberg 竟然在個人網銀網站上,也檢視到了來自卡巴斯基的指令碼。因此其斷定 —— 這件事可能與卡巴斯基軟體有些關聯。
為了驗證,Ronald Eikenberg 嘗試了 Mozilla Firefox、Microsoft Edge、以及 Opera 瀏覽器,結果發現相同的程式碼隨處可見。
鑑於沒有安裝可疑的瀏覽器擴充套件程式,他只能簡單理解為是卡巴斯基反病毒軟體在操縱當前的網路流量 —— 在未獲得使用者許可的情況下,卡巴斯基僭越了!
在此事曝光前,許多人可能只會在網銀木馬類惡意軟體上觀察到這種行為,以圖竊取或篡改關鍵資訊(比如悄悄地變更了網銀轉賬的收款方)。現在的問題是 —— 卡巴斯基你到底在幹嘛呢?!
經過對 main.js 指令碼展開的一番分析,可知卡巴斯基會在判別某個‘乾淨’網站連結後,在位址列顯示帶有谷歌搜尋結果的綠色圖示。
然而還有一個小細節 —— 載入卡巴斯基指令碼的地址,也包含了一段可疑的字串:
https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
連結加粗部分,顯然屬於某種“通用唯一識別符號”(UUID)。但是作為一款計算機安全軟體,卡巴斯基要拿這串字元去識別或追蹤誰呢?
擴充套件擴充套件驗證,Ronald Eikenberg 在其它計算機上也安裝了卡巴斯基軟體,發現它確實會向其它系統同樣注入 JavaScript 程式碼、並且留意到了一個至關重要的區別。
源地址中的 UUID,在每臺系統上都是不一樣的。這些 ID 屬於永續性的標識,即便過了幾天也不會發生改變。顯然,每臺計算機都會擁有自己的永久分配 ID 。
而將這串 UUID 直接注入每個網站的 HTML 原始碼,絕對是一個糟糕頭頂的主意。因為在網站域上下文環境中執行的其它指令碼,都可以隨時訪問整個 HTML 源,甚至讀取卡巴斯基這串 UUID 。
這意味著任何網站都可以讀取並追蹤卡巴斯基軟體使用者的網路 ID,只要另一個網站檢測到了同一字串,就能認定其訪問源來自同一臺計算機。
基於這種假設,卡巴斯基顯然是打造了一套危險的追蹤機制,甚至比傳統的 cookie 更加極端 —— 就算你切換了瀏覽器,也會被追蹤並識別到在使用同一臺裝置、讓瀏覽器的隱身模式形同虛設。
為避免更多使用者陷入風險,c"t 決定立即向卡巴斯基通報這一發現、並且迅速得到了對方的答覆,稱其已著手調查此事。
大約兩週後,卡巴斯基莫斯科總部對這一案例進行了分析,並證實了 c"t 的這一發現。
該問題影響所有使用 Windows 版卡巴斯基安全軟體的消費者版本,從入門機的免費版、網際網路安全套裝(KIS)、直至全面防護版(Total Security)。
此外,卡巴斯基小企業安全版(Small Office Security)也受到了該問題的影響,導致數百萬使用者暴露於風險之中。
Heise.de 調查顯示,卡巴斯基從 2015 年秋髮布的“2016”系列版本中引入了該漏洞。但既然普通網友都能在無意間發現這個漏洞,包括營銷機構在內的第三方,也極有可能早就展開了野外利用。
即便如此,卡巴斯基仍表示這種攻擊過於複雜,因此發生的機率極低,對網路犯罪分子來說有些無利可圖。
然而 Heise.de 並不贊同該公司的說法,畢竟許多企業都在努力監視每一位網站來訪者,這個持續四年的漏洞,很有可能是其展開間諜活動的一個福音。
萬幸的是,在認識到事情的嚴重性之後,卡巴斯基終於聽從了爆料者的要求,在上月釋出了 CVE-2019-8286 安全公告,且相關補丁也已經打上。
當然,為了安全起見,您也可禁用卡巴斯基軟體中提供的相關功能:
多年來,卡巴斯基反病毒軟體一直在各項安全測試中名列前茅。然而近日曝出的資料洩露事件,竟使得第三方能夠長期監視使用者的網路活動。
德國網站 Heise.de 編輯 Ronald Eikenberg 指出,在其辦公室電腦上的一個奇怪發現,讓他知曉卡巴斯基反病毒軟體造成了驚人的資料洩露。
(題圖 via Heise.de)
在剛開始的幾周和幾個月,事情似乎波瀾不驚 —— 卡巴斯基軟體的表現,與 Windows Defender 基本相同或差強人意。
然而忽然有一天,Ronald Eikenberg 在查看了任意網站的 HTML 原始碼後發現,卡巴斯基竟然為其注入瞭如下程式碼:
<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js" charset="UTF-8"></script>
顯然,瀏覽器正在載入來自 Kaspersky 域、名為 main.js 的外部 JavaScript指令碼。儘管 JS 程式碼並不罕見,但當深入檢視瀏覽器中顯示的其它網站的 HTML 原始碼時,幾乎都有同樣奇怪的發現。
毫無意外的是,Ronald Eikenberg 竟然在個人網銀網站上,也檢視到了來自卡巴斯基的指令碼。因此其斷定 —— 這件事可能與卡巴斯基軟體有些關聯。
為了驗證,Ronald Eikenberg 嘗試了 Mozilla Firefox、Microsoft Edge、以及 Opera 瀏覽器,結果發現相同的程式碼隨處可見。
鑑於沒有安裝可疑的瀏覽器擴充套件程式,他只能簡單理解為是卡巴斯基反病毒軟體在操縱當前的網路流量 —— 在未獲得使用者許可的情況下,卡巴斯基僭越了!
在此事曝光前,許多人可能只會在網銀木馬類惡意軟體上觀察到這種行為,以圖竊取或篡改關鍵資訊(比如悄悄地變更了網銀轉賬的收款方)。現在的問題是 —— 卡巴斯基你到底在幹嘛呢?!
經過對 main.js 指令碼展開的一番分析,可知卡巴斯基會在判別某個‘乾淨’網站連結後,在位址列顯示帶有谷歌搜尋結果的綠色圖示。
然而還有一個小細節 —— 載入卡巴斯基指令碼的地址,也包含了一段可疑的字串:
https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
連結加粗部分,顯然屬於某種“通用唯一識別符號”(UUID)。但是作為一款計算機安全軟體,卡巴斯基要拿這串字元去識別或追蹤誰呢?
擴充套件擴充套件驗證,Ronald Eikenberg 在其它計算機上也安裝了卡巴斯基軟體,發現它確實會向其它系統同樣注入 JavaScript 程式碼、並且留意到了一個至關重要的區別。
源地址中的 UUID,在每臺系統上都是不一樣的。這些 ID 屬於永續性的標識,即便過了幾天也不會發生改變。顯然,每臺計算機都會擁有自己的永久分配 ID 。
而將這串 UUID 直接注入每個網站的 HTML 原始碼,絕對是一個糟糕頭頂的主意。因為在網站域上下文環境中執行的其它指令碼,都可以隨時訪問整個 HTML 源,甚至讀取卡巴斯基這串 UUID 。
這意味著任何網站都可以讀取並追蹤卡巴斯基軟體使用者的網路 ID,只要另一個網站檢測到了同一字串,就能認定其訪問源來自同一臺計算機。
基於這種假設,卡巴斯基顯然是打造了一套危險的追蹤機制,甚至比傳統的 cookie 更加極端 —— 就算你切換了瀏覽器,也會被追蹤並識別到在使用同一臺裝置、讓瀏覽器的隱身模式形同虛設。
為避免更多使用者陷入風險,c"t 決定立即向卡巴斯基通報這一發現、並且迅速得到了對方的答覆,稱其已著手調查此事。
大約兩週後,卡巴斯基莫斯科總部對這一案例進行了分析,並證實了 c"t 的這一發現。
該問題影響所有使用 Windows 版卡巴斯基安全軟體的消費者版本,從入門機的免費版、網際網路安全套裝(KIS)、直至全面防護版(Total Security)。
此外,卡巴斯基小企業安全版(Small Office Security)也受到了該問題的影響,導致數百萬使用者暴露於風險之中。
Heise.de 調查顯示,卡巴斯基從 2015 年秋髮布的“2016”系列版本中引入了該漏洞。但既然普通網友都能在無意間發現這個漏洞,包括營銷機構在內的第三方,也極有可能早就展開了野外利用。
即便如此,卡巴斯基仍表示這種攻擊過於複雜,因此發生的機率極低,對網路犯罪分子來說有些無利可圖。
然而 Heise.de 並不贊同該公司的說法,畢竟許多企業都在努力監視每一位網站來訪者,這個持續四年的漏洞,很有可能是其展開間諜活動的一個福音。
萬幸的是,在認識到事情的嚴重性之後,卡巴斯基終於聽從了爆料者的要求,在上月釋出了 CVE-2019-8286 安全公告,且相關補丁也已經打上。
當然,為了安全起見,您也可禁用卡巴斯基軟體中提供的相關功能: