首页 >> 网络安全 >>极客新闻 >> 卡巴斯基反病毒软件的新漏洞使数百万人的浏览历史成为公众
详细内容

卡巴斯基反病毒软件的新漏洞使数百万人的浏览历史成为公众

防病毒解决方案是计算机用户的基本保护工具之一; 但是,这个软件不能避免改变安全和隐私环境的缺陷。最近,IT系统审计专家报告了俄罗斯卡巴斯基实验室的反病毒软件中的一个新漏洞,该漏洞泄露了用户网络浏览器中的偏好和习惯的一些细节。


多年来,该公司的防病毒软件在用户访问的网页的HTML中注入了一个标识符,允许网站知道正在使用哪个浏览器并知道私有模式是否已启用,甚至担心标识符已包含一直在泄露那些受影响的人的浏览历史。 


IT系统审计专家Ronald Eikenberg发现,这个名为Kaspersky JavaScript的标识符被注入到他访问的每个页面中,无论他是使用Chrome,Edge,Firefox还是其他任何浏览器。“这些信息可能用于跟踪任何网站的访问者,主要用于营销目的,”专家提到。


显然,这种做法始于2015年底并在几周前停止,这意味着近四年来所有卡巴斯基实验室反恶意软件 产品泄露了有关浏览器使用的这些细节。“卡巴斯基帮助创建了一种巨大的跟踪机制,甚至无法使用浏览器的私有模式绕过,”艾肯伯格说。


该安全公司去年6月发布了更新,并为其所有用户发布了警报; 此行为被报告为安全漏洞,为其分配密钥CVE-2019-8286。不幸的是,这不是网站用来跟踪访问者的唯一方法。虽然最常见的跟踪形式是使用IP地址或cookie,但这些网页的驱动程序也会对这些活动使用浏览器扩展或配置修改。


但是,IT系统审计专家指出,在每个网站中注入用户ID是防病毒解决方案中不必要的功能,同时也是对用户隐私的侵犯。此外,卡巴斯基有可能不是唯一一个不经意或有意执行此练习的反病毒公司。


在这方面,卡巴斯基发表声明,提到其可疑活动的网页验证流程已更新。“由于内部调查,我们得出结论认为这些隐私缺陷实际上是可能的,尽管它们在现实世界中的情况极不可能发生,因为它们的利用需要复杂的黑客攻击技术,并且对于威胁行为者来说并不是一项有利可图的活动。我们将继续努力为用户提供更好的服务,“声明说。 


国际网络安全研究所(IICS)的IT系统审计专家认为,反病毒制造商应该更加关注使用这些产品可能导致的敏感信息的潜在泄漏,因为用于反恶意软件保护的工具不应该损害用户的隐私。 

技术支持: 建站ABC | 管理登录