据德媒爆料,Winodws版卡巴斯基(Kaspersky)杀毒软件暗藏有可追踪用户行为的隐私漏洞。调查人员指出,卡巴斯基会赋予每一台用户电脑的一个身份ID,只要能读取Kaspersky ID的网站,就能利用该ID来追踪使用者行为,进而知道该名使用者是否曾访问过该站,无论使用的是哪款浏览器,即便启用了无痕模式,都可被追踪到。
据悉,该隐私漏洞影响卡巴斯基从2015年秋天发表的所有消费者版本的Windows杀毒软件,从免费版到Kaspersky Internet Security与Total Security,也波及Small Office Security,估计影响数百万名卡巴斯基用户。
卡巴斯基在收到调查人员的通知之后,承认此一问题的存在,但指出相关攻击太过复杂且无利可图。不过Eikenberg却认为这是个严重的漏洞,若骇客在4年前漏洞现身时,就构建一个网站来收集Kaspersky ID的话,现在则会拥有强大的监控能力。
目前卡巴斯基在调查人员的督促下,已将此漏洞分配了CVE-2019-8286的编号,并在今年7月进行了修补。
不过调查人员在卡巴斯基修补之后再度测试,发现卡巴斯基把原本每一台电脑都具备的ID改成产品ID,例如使用特定杀毒软件版本的用户,都具备同样的ID,使网站无法再辨识个别用户。但如果骇客借此判断杀毒软件版本来定制化攻击模式,同样具有威胁性,因此再度向卡巴斯基报告。而卡巴斯基尚未回复。
有鉴于此,建议使用者可在卡巴斯基杀毒软件的流量处理设定中,关闭“Inject script into web traffic to interact with web pages(将脚本插入Web流量以与网页交互)”功能,即能避免让网站访问相关ID。
本文属于原创文章,如若转载,请注明来源:卡巴斯基杀毒软件曝隐患 可追踪用户隐私//safe.zol.com.cn/724/7246850.html
