卡巴斯基桌面殺毒軟體含有用戶可被關注的隱私漏洞

德國計算機雜誌c』 t本周披露，Winodws版的卡巴斯基（Kaspersky）殺毒軟體暗藏隱私漏洞，可供網站關注用戶行為。

該雜誌定期會測試不同的殺毒軟體產品，一名安裝了卡巴斯基殺毒軟體的編輯Ronald Eikenberg，意外在某個所訪問網站的程序代碼中，看到來自卡巴斯基的JavaScript腳本程序，檢驗後發現它是卡巴斯基賦給每台計算機的ID。

於是只要是安裝了卡巴斯基的殺毒軟體，不管是以Firefox、Edge或Opera瀏覽器訪問任何網站，這些網站都會被注入含有同樣ID的JavaScript。而且當Eikenberg以其它安裝了卡巴斯基殺毒軟體的計算機訪問網站時，所呈現的ID便不同。

Eikenberg把它稱為Kaspersky ID，意味著它是由卡巴斯基賦給每一台用戶計算機的身份，只要能讀取Kaspersky ID的網站，就能利用該ID來關注用戶行為，可得知該名用戶是否曾訪問過該站，不管是哪一家瀏覽器，即使是激活無痕模式，都難逃被關注，有機會遭到營銷人員或黑客的濫用。

該隱私漏洞，影響卡巴斯基自2015年秋天發布的所有消費者版本的Windows殺毒軟體，從免費版到Kaspersky Internet Security與Total Security，也波及Small Office Security，估計影響數百萬名卡巴斯基用戶。

卡巴斯基在收到Eikenberg的通知之後，承認該問題的存在，但指出相關攻擊太過複雜且無利可圖，不過Eikenberg卻認為這是個嚴重的漏洞，若黑客或營銷人員在4年前漏洞現身時，就打造一個網站來搜集Kaspersky ID，現在應已具備強大的監控能力。

總之，卡巴斯基在Eikenberg的督促下分配了CVE-2019-8286編號給該漏洞，並於今年7月修補。

Eikenberg在卡巴斯基修補之後再度進行測試，發現卡巴斯基把原本每一台計算機都具備的ID改成產品ID，例如使用特定殺毒軟體版本的用戶，都具備同樣的ID，使網站無法再識其他別的用戶。但Eikenberg覺得這還是有危險性存在，例如黑客就能藉由判斷殺毒軟體版本來定製化攻擊模式，也再度向卡巴斯基提報漏洞。

不過，用戶也可在卡巴斯基殺毒軟體的流量處理設置中，關閉「Inject script into web traffic to interact with web pages」功能，即能避免讓網站訪問相關ID。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！