Hàng triệu người dùng Kaspersky Antivirus có thể theo dõi các hoạt động trực tuyến của bạn mà không cần sự cho phép của bạn do lỗi bảo mật phần mềm.
Có thể trang web đã có thể theo dõi người dùng Kaspersky trong nhiều năm, với mỗi máy được xác định và mỗi trang được theo dõi, một báo cáo đã được tìm thấy.
Tất cả các sản phẩm chống vi-rút của công ty được coi là bị ảnh hưởng bởi vấn đề này, điều đó có nghĩa là hàng triệu người dùng có thể bị ảnh hưởng.
Theo dõi
Lỗ hổng được tiết lộ bởi nhà báo an ninh người Đức Ronald Eikenberg, người đã phát hiện ra rằng phần mềm Kaspersky tiêm mã JavaScript vào mọi trang web được trình bày trong mọi trình duyệt.
Kaspersky JavaScript chứa số ID được sao chép trên mỗi trang được tạo trên máy. Số ID đã thay đổi trên một PC khác.
"Đó là một ý tưởng rất tồi tệ", Eikenberg viết trên tạp chí c't. "Các tập lệnh khác chạy trong ngữ cảnh của tên miền trang web có thể truy cập tất cả các nguồn HTML bất cứ lúc nào, điều đó có nghĩa là chúng có thể đọc Kaspersky ID Nói cách khác, bất kỳ trang web nào cũng có thể đọc ID người dùng của Kaspersky và sử dụng nó để thu thập dữ liệu
Bằng cách nghiên cứu phần mềm trên máy tính xách tay thử nghiệm, Eikenberg phát hiện ra rằng ngay cả khi những khách truy cập khác đến trang web của bạn bằng máy tính khác, phần mềm sẽ đọc ID Kasperksy và đích thân khắc phục chúng, ngay cả khi họ xóa cookie.
(Tín dụng hình ảnh: Kaspersky)
Eikenberg nói với Kaspersky về vấn đề này và công ty sau đó đã xác nhận rằng vấn đề là ở tất cả các phiên bản phần mềm chống vi-rút của nó.
Hiện tại, Kaspersky đã vá tất cả các phần mềm bị ảnh hưởng và đưa ra một lời khuyên bảo mật cảnh báo người dùng về sự thất bại.
Nếu bạn bị ảnh hưởng, Kaspersky cho biết điều tốt nhất bạn có thể làm là đảm bảo phần mềm của bạn được cập nhật lên phiên bản mới nhất, với các bản vá có sẵn trên thiết bị của bạn hoặc trên trang web của công ty.
"Kaspersky đã thay đổi quy trình xác minh các trang web để phát hiện hoạt động độc hại bằng cách loại bỏ việc sử dụng các mã định danh duy nhất cho các yêu cầu GET", công ty cho biết trong một tuyên bố. Thay đổi này được thực hiện sau khi Ronald Eikenberg thông báo cho chúng tôi rằng việc sử dụng một mã định danh duy nhất cho các yêu cầu GET có thể dẫn đến việc tiết lộ thông tin cá nhân của người dùng. "
"Sau khi điều tra nội bộ, chúng tôi đã kết luận rằng kịch bản quyền riêng tư của người dùng bị xâm phạm như vậy về mặt lý thuyết là có thể nhưng không thể thực hiện được, do tính phức tạp và lợi nhuận thấp của tội phạm mạng. Tuy nhiên, chúng tôi vẫn tiếp tục làm việc để cải thiện công nghệ và sản phẩm. , dẫn đến những thay đổi trong quá trình này. "
"Chúng tôi muốn cảm ơn Ronald Eikenberg vì đã thông báo cho chúng tôi về điều này."
Qua hướng dẫn của Tom
