近期，國外安全研究人員曝出卡巴斯基殺毒軟件的腳本中存在一個獨特而唯一的標識符，可導致用戶在過去4年中訪問過的每個網(wǎng)站都被泄露。

該漏洞被標記為CVE-2019-8286，其中所涉及的獨特標識可讓被訪問過的網(wǎng)站和第三方商業(yè)公司在線跟蹤用戶。

更嚴重的是，即使用戶刪除了cookie，也能被跨站點跟蹤。

該漏洞是由安全研究員Ronald Eikenberg發(fā)現(xiàn)的，位于殺毒軟件的URL掃描模塊，被稱為Kaspersky URL Advisor。

卡巴斯基互聯(lián)網(wǎng)安全解決方案會將遠程托管的javascript文件直接注入到用戶訪問的每個web頁面的HTML代碼中，以此檢查用戶訪問的頁面是否處于“黑名單”(例如釣魚網(wǎng)站)。

通過分析這個javascript文件中的URL字符串，Eikenberg發(fā)現(xiàn)它包含一個特殊而唯一的字符串，這就像是每個卡巴斯基用戶的標記，可被用于跟蹤上網(wǎng)痕跡。特別是可以很輕易的就被網(wǎng)站、廣告和分析等商業(yè)服務用于實時跟蹤用戶。

在一篇文章中，研究人員表示：“我對卡巴斯基的腳本main.js進行過仔細分析，它會判定用戶訪問的鏈接是否是一個合法的網(wǎng)站，如果是，它會顯示帶有谷歌搜索結果的綠色圖標。但除此之外，我還發(fā)現(xiàn)一個小細節(jié)：加載卡巴斯基腳本的地址中包含一個可疑字符串：

https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js

上述網(wǎng)址中那個奇怪的字符串貌似是通用架構，代表一種唯一標識符(UUID)，就相當于身份證號，對用戶進行唯一標識。

Eikenberg也在其他電腦上安裝了卡巴斯基殺毒軟件，發(fā)現(xiàn)每臺電腦上的UUID都不一樣。他還注意到這個UUID并不會經(jīng)常變化，應該是和卡巴斯基殺毒軟件客戶端永久綁定。

“這真的是一個非常糟糕的做法。網(wǎng)頁中運行的其他javascript腳本隨時可以獲取這個UUID，所有的卡巴斯基用戶都會在不知情的情況下被跟蹤。”

任意商業(yè)服務公司可從旗下所掌控網(wǎng)站捕獲的UUID推測出用戶的網(wǎng)頁瀏覽痕跡。卡巴斯基為了排除cookie的影響，更好地跟蹤用戶，創(chuàng)建了一種非常危險的機制，導致其他網(wǎng)站也可以跟蹤卡巴斯基的用戶，即使切換瀏覽器、刪除上網(wǎng)痕跡都不能阻止，這也讓瀏覽器的隱身模式變成擺設。

Eikenberg向卡巴斯基報告了這個問題，最終卡巴斯基于7月份解決完成了修復。現(xiàn)在所有用戶都擁有相同的值(FD126C42-EBFA-4E12-B309-BB3FDD723AC1)。

在卡巴斯基的安全建議中寫道：“這個漏洞被歸類為用戶數(shù)據(jù)泄露。攻擊者需在web服務器上部署惡意腳本，從而跟蹤用戶。”

受影響的產(chǎn)品有:

• Kaspersky Anti-Virus up to 2019
• Kaspersky Internet Security up to 2019
• Kaspersky Total Security up to 2019
• Kaspersky Free Anti-Virus up to 2019
• Kaspersky Small Office Security up to 6

安全專家還指出，Kaspersky URL Advisor功能仍然可讓被訪問的網(wǎng)站檢測訪問者是否在電腦上安裝了卡巴斯基殺毒軟件，這有可能使訪問者成為攻擊者的潛在目標。

“是否安裝了卡巴斯基殺毒軟件對攻擊者來說是非常有價值的信息。他們可能會利用這點專門攻擊無保護的機器，或者將網(wǎng)頁重定向到一個釣魚頁面，欺騙用戶輸入系統(tǒng)密碼以便繼續(xù)使用卡巴斯基。我也向卡巴斯基報告了這些潛在的安全問題。”

你可以通過settings→ additional→ network→ un-check禁用URL Advisor功能。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場

來源：卡巴斯基殺毒軟件被曝出用戶上網(wǎng)痕跡泄露漏洞|NOSEC安全訊息平臺 - 白帽匯安全研究院

原文：https://securityaffairs.co/wordpress/89917/hacking/kaspersky-antivirus-flaw.html

白帽匯從事信息安全，專注于安全大數(shù)據(jù)、企業(yè)威脅情報。

公司產(chǎn)品：FOFA-網(wǎng)絡空間安全搜索引擎、FOEYE-網(wǎng)絡空間檢索系統(tǒng)、NOSEC-安全訊息平臺。

為您提供：網(wǎng)絡空間測繪、企業(yè)資產(chǎn)收集、企業(yè)威脅情報、應急響應服務

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結

以上是生活随笔為你收集整理的卡巴斯基安全浏览器_卡巴斯基杀毒软件被曝出用户上网痕迹泄露漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。