Kiedy instalujemy program antywirusowy na naszym komputerze lub telefonie komórkowym, robimy to w zasadzie po to, aby chronić się przed zagrożeniami, które zagrażają nam za pośrednictwem Internetu . Wydaje się jednak, że nie wszystko złoto, co się świeci. Przynajmniej w przypadku Kaspersky, który właśnie został wydany.
Od co najmniej czterech lat produkty antywirusowe firmy Kaspersky Lab zagrażają bezpieczeństwu klientów, którzy je zainstalowali. W jaki sposób? Cóż, jak właśnie zostało opublikowane, poprzez wstrzyknięcie unikalnego kodu identyfikacyjnego do kodu HTML każdej ze stron internetowych, które odwiedził użytkownik. W ten sposób każda witryna może zidentyfikować użytkownika, gdy korzysta z trybu incognito w przeglądarce lub gdy przełącza przeglądarkę na Chrome, Firefox lub Edge.
Z informacji opublikowanych w c't Magazine wynika, że ten kod był kodem JavaScript wstrzykniętym przez firmę Kaspersky na każdej stronie odwiedzanej przez użytkownika. Służyło to do wprowadzania zielonego kodu , który reprezentował bezpieczny link, zwracany w wynikach wyszukiwania. Wyglądało to następująco:
Kod do śledzenia, nawet w trybie incognito
Osobą odpowiedzialną za to odkrycie jest Ronald Eikenberg, który znalazł słynny JavasScript wstrzyknięty przez program antywirusowy, który zainstalował na swoim komputerze, od Kaspersky. To wygenerowało unikalną etykietę - rodzaj kodu z różnymi cyframi i literami (konkretnie 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615) - który został wstrzyknięty na każdą ze stron odwiedzanych za pośrednictwem przeglądarki.
Tak też się stało z każdą przeglądarką. Przetestował to w Chrome, Firefox, Edge i Opera. Rezultat był zawsze taki sam. W rzeczywistości jednoosobowy kod został wstrzyknięty do kodu HTML stron nawet wtedy, gdy uzyskiwany był do niego dostęp z przeglądarki w trybie incognito. Tego samego kodu mogliby użyć osoby odpowiedzialne za dowolną witrynę internetową, gdyby chciały śledzić ją jako użytkownik.
Kaspersky działa w ten sposób od 4 lat
Prawda jest taka, że nie działo się to przez krótki czas. Nic nie jest dalsze od rzeczywistości. Kaspersky wprowadził słynny identyfikator jesienią 2015 roku i po ostrzeżeniu Eikenberga skierowanym do samej firmy przestał go używać. Stało się to w czerwcu tego roku, więc Kaskpersy używał go przez prawie cztery lata i we wszystkich wersjach programu antywirusowego dla Windows, które firma udostępniła użytkownikom. Również w wersjach, które można pobrać bezpłatnie, a są to Kaspersky Internet Security i Kaspersky Total Security.
Problem z zabezpieczeniami został zidentyfikowany za pomocą następującego kodu CVE-2019-8286. Dla ekspertów dodanie unikalnego identyfikatora jest całkowicie niepotrzebną opcją, chociaż istnieją również inne systemy, które mogą pomóc w identyfikacji użytkownika, takie jak pliki cookie i adresy IP . Tak czy inaczej, nie stoimy przed idealną opcją zachowania prywatności użytkowników.
Ze swojej strony Kaspersky nie zwlekał z wydaniem oświadczenia, w którym przyznaje, że unikalne identyfikatory zostały wyeliminowane po otrzymaniu informacji od wspomnianego dziennikarza, któremu dziękują za ich pracę. Uważają jednak, że chociaż identyfikatory mogą służyć do identyfikacji użytkowników, jest mało prawdopodobne, aby cyberprzestępcy śledzili te cechy. Po pierwsze dlatego, że jest to skomplikowana procedura, a po drugie dlatego, że nie byłaby opłacalna.