„Kasper-Spy” – luka w AV Kasperskiego, która umożliwiała trackowanie użytkowników

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19203
Reakcje/Polubienia
55884
Interesujące
Zaloguj lub Zarejestruj się aby zobaczyć!
. Najpierw okazało się że antywirus od Kasperskiego wstrzykiwał w odwiedzane strony fragment kodu HTML:
<script type=”text/javascript” src=”
Zaloguj lub Zarejestruj się aby zobaczyć!
charset=”UTF-8″></script>
Kliknij aby rozwinąć...
Samo to w sobie nie jest zabawne, ponieważ JavaScript działający w kontekście naszej przeglądarki mógłby zrobić wszystko (no dobra, jeśli mamy antywirusa to jego właściciele tak czy siak mogą zrobić z naszym komputerem wszystko). Ciekawszy jest jednak ID, który widać na listingu powyżej: 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615. Ten UUID generowany był unikalnie dla każdego użytkownika i nie zmieniał się przy kolejnych wizytach. Widzicie już problem?

Właśnie, strona (strony) która chciały namierzać tego samego użytkownika, wystarczy że przechowywała UUID-y w swojej bazie. Można się jeszcze zapytać – skąd można było otrzymać ten UUID? – przecież przekazywany jest on domeny kaspersky-labs.com. Otóż antywirus odwołanie wstrzykiwał w treść HTML, skąd odpowiednio przygotowany JavaScript na dowolnej stronie mógł go odczytać. Dokładnie taki eksperyment z namierzaniem użytkowników wykonali sami redaktorzy c’t:

tn_poc-ff-private_ast_SC-79510f6cc4b8f49c-600x335.jpeg
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!


Rosyjska firma
Zaloguj lub Zarejestruj się aby zobaczyć!
, ale ....
Poprawka nie eliminuje całkowicie śledzenia
Powtórzony eksperyment z poprawionym produktem Kaspersky wykazał, że identyfikator nadal tam jest, ale jest taki sam dla wszystkich użytkowników konkretnej edycji Kaspersky, więc nie można go już używać do śledzenia poszczególnych użytkowników.

Jednak problem śledzenia nadal występuje na szerszym poziomie, ponieważ strony internetowe mogą sprawdzić, czy odwiedzający mają zainstalowany program antywirusowy Kaspersky i ile lat ma ta wersja.
„Jest to w rzeczywistości cenna informacja dla atakującego. Mogą oni wykorzystać te informacje do rozpowszechnienia złośliwego oprogramowania dostosowanego do oprogramowania zabezpieczającego lub przekierowania przeglądarki na odpowiednią stronę oszukańczą” -
Zaloguj lub Zarejestruj się aby zobaczyć!
dziś
Zaloguj lub Zarejestruj się aby zobaczyć!
w poście.
Kliknij aby rozwinąć...
W scenariuszu wyobrażonym przez Eikenberg osoba atakująca może użyć tego, aby pokazać ofiarom wiadomość informującą, że ich konkretna wersja produktu Kaspersky wkrótce wygaśnie i że mogą przedłużyć licencję przy zakupie online.
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!


Jednym ze sposobów trwałego wyeliminowania tego rodzaju ryzyka jest wyłączenie funkcji przetwarzania ruchu produktu przez przejście do menu Sieć i odznaczenie opcji wstrzykiwania skryptu do ruchu sieciowego.
 
Ostatnia edycja:
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Szczecin. Ktoś włamał się do systemu płatnego parkowania i podmienił numer konta...
Odpowiedzi
0
Wyświetleń
7
OXYGEN THIEF
OXYGEN THIEF
Grandalf
Prawie połowa serwerów Microsoft Exchange w Polsce narażona na ataki z zewnątrz
Odpowiedzi
0
Wyświetleń
67
Grandalf
Grandalf
Grandalf
DCG Centrum Medyczne zostało zhakowane - gruby wyciek
Odpowiedzi
2
Wyświetleń
79
Grandalf
Grandalf
Grandalf
Podatność powodująca, że szyfrowanie PGP mogło zmienić temat wiadomości e-mail w Thunderbirdzie
Odpowiedzi
0
Wyświetleń
57
Grandalf
Grandalf
spamtrash
wpath.org
Odpowiedzi
0
Wyświetleń
65
spamtrash
spamtrash
Do góry