Antiviry Kaspersky mohly být zneužity ke sledování uživatelů
16.8.2019, Milan Šurkala, aktualita
Kaspersky teď čelí nemilému problému. Jeho antiviry totiž mohly být zneužívány třetími stranami ke sledování uživatelů. Jeho skripty totiž nabízeli ostatním možnost identifikovat počítač a uživatele.
Antiviry od Kaspesky Lab mohly být roky zneužívány ke sledování uživatelů. Chyba v softwaru (CVE-2019-8286) byla nalezena německým novinářem Ronaldem Eikenbergem, který na ní společnost Kaspersky upozornil. Vtip byl v tom, že antiviry společnosti vkládaly do kontrolovaných stránek svůj JavaScript s unikátním ID uživatele. Jenže toho se dá zneužívat, neboť jiné skripty na stránce mohou mít přístup k vygenerovanému HTML a tím i k unikátnímu ID, čímž pomáhali k identifikaci uživatele i tehdy, když měl zakázány cookies.
Tento skript běžně pomáhal v kontrole toho, zda je stránka na seznamu podezřelých adres. Nejde však o nic netradičního, takto funguje většina antivirových řešení, nicméně v tomto případě je problémem právě ono zveřejňení ID uživatele. Kaspersky už problém vyřešil, vydal aktualizace aplikací a nyní by skript měl mít místo ID uživatele vypisovat ve všech případech stejný řetězec FD126C42-EBFA-4E12-B309-BB3FDD723AC1. Kdo by i přesto chtěl vkládání tohoto skriptu vypnout, může v nastavení aplikace vypnout URL Advisor.
