„Kasper-Spy” – luka w AV Kasperskiego, która umożliwiała trackowanie użytkowników

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56070
Interesujące
Zaloguj lub Zarejestruj się aby zobaczyć!
. Najpierw okazało się że antywirus od Kasperskiego wstrzykiwał w odwiedzane strony fragment kodu HTML:
<script type=”text/javascript” src=”
Zaloguj lub Zarejestruj się aby zobaczyć!
charset=”UTF-8″></script>
Kliknij aby rozwinąć...
Samo to w sobie nie jest zabawne, ponieważ JavaScript działający w kontekście naszej przeglądarki mógłby zrobić wszystko (no dobra, jeśli mamy antywirusa to jego właściciele tak czy siak mogą zrobić z naszym komputerem wszystko). Ciekawszy jest jednak ID, który widać na listingu powyżej: 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615. Ten UUID generowany był unikalnie dla każdego użytkownika i nie zmieniał się przy kolejnych wizytach. Widzicie już problem?

Właśnie, strona (strony) która chciały namierzać tego samego użytkownika, wystarczy że przechowywała UUID-y w swojej bazie. Można się jeszcze zapytać – skąd można było otrzymać ten UUID? – przecież przekazywany jest on domeny kaspersky-labs.com. Otóż antywirus odwołanie wstrzykiwał w treść HTML, skąd odpowiednio przygotowany JavaScript na dowolnej stronie mógł go odczytać. Dokładnie taki eksperyment z namierzaniem użytkowników wykonali sami redaktorzy c’t:

tn_poc-ff-private_ast_SC-79510f6cc4b8f49c-600x335.jpeg
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!


Rosyjska firma
Zaloguj lub Zarejestruj się aby zobaczyć!
, ale ....
Poprawka nie eliminuje całkowicie śledzenia
Powtórzony eksperyment z poprawionym produktem Kaspersky wykazał, że identyfikator nadal tam jest, ale jest taki sam dla wszystkich użytkowników konkretnej edycji Kaspersky, więc nie można go już używać do śledzenia poszczególnych użytkowników.

Jednak problem śledzenia nadal występuje na szerszym poziomie, ponieważ strony internetowe mogą sprawdzić, czy odwiedzający mają zainstalowany program antywirusowy Kaspersky i ile lat ma ta wersja.
„Jest to w rzeczywistości cenna informacja dla atakującego. Mogą oni wykorzystać te informacje do rozpowszechnienia złośliwego oprogramowania dostosowanego do oprogramowania zabezpieczającego lub przekierowania przeglądarki na odpowiednią stronę oszukańczą” -
Zaloguj lub Zarejestruj się aby zobaczyć!
dziś
Zaloguj lub Zarejestruj się aby zobaczyć!
w poście.
Kliknij aby rozwinąć...
W scenariuszu wyobrażonym przez Eikenberg osoba atakująca może użyć tego, aby pokazać ofiarom wiadomość informującą, że ich konkretna wersja produktu Kaspersky wkrótce wygaśnie i że mogą przedłużyć licencję przy zakupie online.
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!


Jednym ze sposobów trwałego wyeliminowania tego rodzaju ryzyka jest wyłączenie funkcji przetwarzania ruchu produktu przez przejście do menu Sieć i odznaczenie opcji wstrzykiwania skryptu do ruchu sieciowego.
 
Ostatnia edycja:
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Sieć drogeryjno-apteczna Super-Pharm poinformowała o ataku na sklep internetowy i wycieku danych klientów
Odpowiedzi
0
Wyświetleń
49
OXYGEN THIEF
OXYGEN THIEF
spamtrash
Downdate - tool do sprowadzenia Windows do parteru
Odpowiedzi
0
Wyświetleń
42
spamtrash
spamtrash
spamtrash
"uniwersalny" "exploit" na banowanie dowolnego usera w paru grach.
Odpowiedzi
0
Wyświetleń
46
spamtrash
spamtrash
OXYGEN THIEF
Incydent w polskiej firmie. Wyciekły skany paszportów
Odpowiedzi
0
Wyświetleń
64
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Chińscy naukowcy złamali szyfrowanie RSA za pomocą komputera kwantowego
Odpowiedzi
0
Wyświetleń
71
OXYGEN THIEF
OXYGEN THIEF
Do góry