کاسپرسکی

در این عصر دیجیتال، موفقیت هر شرکت بازاریابی، تبلیغاتی و تجزیه‌وتحلیل با ردیابی کاربران از طریق اینترنت هدایت می‌شود تا آن‌ها را شناسایی کند و علایق آن‌ها را برای ارائه تبلیغات هدفمند ارزیابی کند.

بسیاری از این راه‌حل‌ها به کوکی‌های شخص ثالث متکی هستند، یک کوکی روی دامنه‌ای غیرازآن که در حال مرور آن هستید، که به شرکت‌هایی ازجمله گوگل و فیس‌بوک اجازه می‌دهد تا شما را fingerprint کند تا هر حرکت شما را در سایت‌های مختلف ردیابی کند.

اما اگر از آنتی‌ویروس کاسپرسکی استفاده می‌کنید، یک آسیب‌پذیری در این نرم‌افزار امنیتی قرار دارد که شناسه‌ای منحصربه‌فرد مرتبط با شما را در هر وب‌سایتی که در ۴ سال گذشته بازدید کرده‌اید قرار می‌دهد، که ممکن است به آن سایت‌ها و سایر خدمات شخص ثالث اجازه دهد شما را در سراسر وب ردیابی کنند، حتی اگر کوکی‌های شخص ثالث را به‌موقع مسدود کرده یا پاک کرده باشید.

این آسیب‌پذیری با عنوان CVE-2019-8286 شناسایی شده است و توسط یک محقق امنیتی مستقل به نام Ronald Eikenberg کشف شد. این آسیب‌پذیری در روشی که یک ماژول اسکن URL در نرم‌افزار آنتی‌ویروس موسوم به Kaspersky URL Advisor کار می‌کند، قرار دارد.

به‌طور پیش‌فرض، Kaspersky Internet Security یک پرونده جاوا اسکریپت از راه دور را مستقیماً به کد HTML هر صفحه وب که بازدید می‌کنید – برای همه مرورگرهای وب ، حتی در حالت ناشناس – به‌منظور بررسی اینکه آیا این صفحه به لیست مشکوک تعلق دارد یا نه، تزریق می‌کند و آدرس‌های وب را فیشینگ می‌کند.

این موضوع جای تعجب ندارد، زیرا اکثر راهکارهای امنیتی در اینترنت به همین روش برای نظارت بر صفحات وب برای محتوای مخرب کار می‌کنند.

بااین‌حال، Eikenberg فهمید که URL این فایل اسکریپت حاوی یک رشته است که برای هر کاربر کاسپرسکی منحصربه‌فرد است، نوعی از یک UUID (شناسه جهانی منحصربه‌فرد) است که به‌راحتی توسط وب‌سایت‌ها، سایر خدمات تبلیغی و تحلیلی شخص ثالث قابل جذب است که حریم خصوصی کاربران را در معرض خطر قرار می‌دهد.

محققان دراین‌باره می‌گویند[۱]: “این یک ایده بد است زیرا سایر اسکریپت‌ها که در زمینه دامنه وب‌سایت اجرا می‌شوند می‌توانند در هر زمان به کد HTML و به‌این‌ترتیب به شناسه تزریق‌شده کاسپرسکی دسترسی پیدا کنند. این به زبان ساده به این معنی است که هر وب‌سایتی می‌تواند به‌راحتی شناسه کاسپرسکی کاربر را بخواند و از آن برای ردیابی کاربر سوءاستفاده کند.

“شناسه‌ها ماندگار بودند و پس از گذشت چند روز تغییر نکردند. این امر روشن ساخت که می‌توان یک شناسه را به‌طور دائم به یک کامپیوتر خاص اختصاص داد.”

Eikenberg یافته‌های خود را به کاسپرسکی گزارش داد، که کاسپرسکی اواخر ماه گذشته با اختصاص یک مقدار ثابت (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) برای همه کاربران به‌جای استفاده از UUID در URL جاوا اسکریپت، این موضوع را برطرف کرد.

این شرکت در گزارش خود دراین‌باره می‌گوید[۲]: “کاسپرسکی یک مسئله امنیتی (CVE-2019-8286) را در محصولات خود برطرف کرده است که می‌تواند با استفاده از شناسه منحصربه‌فرد محصول که برای اشخاص ثالث در دسترس است، حریم خصوصی کاربران را به خطر می‌اندازد.”

“این مسئله به‌عنوان افشای اطلاعات کاربر طبقه بندی شده است. مهاجم مجبور است اسکریپتی موذی را روی سرورهای وب تهیه کند و از آنجا کاربر را ردیابی می‌کند.”

بااین‌وجود، ویژگی URL Advisor Kaspersky هنوز وب‌سایت‌ها و سرویس‌های شخص ثالث را قادر می‌سازد دریابند که آیا یک بازدیدکننده نرم‌افزار کاسپرسکی را روی سیستم خود نصب کرده است یا نه، که این محقق معتقد است می‌تواند توسط کلاه‌برداران و مجرمان سایبری به‌صورت غیرمستقیم سوءاستفاده شود.

Eikenberg هشدار داد: “یک مهاجم می‌تواند از این اطلاعات برای توزیع مجدد یکpest  متناسب با نرم‌افزار محافظت یا هدایت مجدد آن به صفحه کلاه‌برداری مناسب استفاده کند، با این شعار: مجوز کاسپرسکی شما تمام شده است. لطفاً شماره کارت اعتباری خود را برای تمدید اشتراک وارد کنید.”

نسخه‌های به‌روز شده آنتی‌ویروس کاسپرسکی، Internet Security، Total Security، Free Antivirus و محصولات Small Office Security به‌منظور برطرف کردن این عیب به‌روز شده‌اند.

اما، کاربرانی که می‌خواهند این ردیابی را به‌طورکلی غیرفعال کنند، می‌توانند به‌صورت دستی ویژگیURL Advisor را از settings→ additional→ network→ un-check traffic processing box غیرفعال کنند، همان‌طور که در شکل بالا نشان داده شده است.

 

منابع

[۱] https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Virenschutz-gefaehrdet-Privatsphaere-der-Nutzer-4495127.html

[۲] https://support.kaspersky.com/general/vulnerability.aspx?el=12430#110719

[۳] https://thehackernews.com/2019/08/kaspersky-antivirus-online-tracking.html