نقص در آنتیویروس کسپرسکی امکان ردیابی کاربران را فراهم میکند!
نقص در آنتیویروس کسپرسکی شناسهی اختصاص داده شده به کاربران را برای هر وبسایتی که کاربر در طول ۴ سال گذشته بازدید نموده است فاش میکند.
این آسیبپذیری که با شناسه CVE-2019-8286 معرفی شده است، شناسهی اختصاص داده شده به کاربران را برای هر وبسایتی که کاربر که در طول ۴ سال گذشته بازدید نموده است فاش میکند. افشای این شناسه به وبسایتهای بازدید شده و سرویسهای تجاری شخص ثالث اجازه میدهد کاربران آنلاین را ردیابی کنند.
خبر بد این است که کاربران حتی در صورت حذف یا بلاک کردن کوکیها نیز همچنان ممکن است در معرض ردیابی قرار بگیرند.
این آسیبپذیری که توسط یک محقق امنیتی به نام Ronald Eikenberg کشف شده است، در ماژول اسکن URL کسپرسکی موسوم به Kaspersky URL Advisor وجود دارد.
راهحل امنیتی کسپرسکی بدین صورت است که یک فایل جاوااسکریپت را مستقیماً از راه دور در کد HTML هر وبسایتی که توسط کاربران بازدید میشود تزریق میکند تا امنیت وبسایت را بررسی کند (برای بررسی اینکه وبسایت در لیست سیاه قرار نداشته باشد، یعنی صفحه متعلق به لیست دامنههای فیشینگ نباشد).
این محقق با تجزیه و تحلیل رشته URL جاوااسکریپت، دریافت که این URL حاوی یک رشتهی منحصر به فرد برای هر یک از کاربران کسپرسکی است که میتواند برای ردیابی کاربران مورد استفاده قرار گیرد. این رشته میتواند به راحتی توسط وبسایتها، سرویسهای تبلیغاتی و تحلیلی برای ردیابی کاربران آنلاین مورد استفاده قرار گیرد.
Eikenberg میگوید: "اولین بررسی من از اسکریپت کسپرسکی به نام main.js به من نشان داد که، اگر کسپرسکی امنیت یک وبسایت را تأیید کند یک آیکون سبزرنگ در نتیجهی جستجوی گوگل به کاربر نشان داده میشود. وی میگوید: "این میتواند پایان تحلیل من باشد، اما یک نکته کوچک وجود داشت، آدرسی که در اسکریپت کسپرسکی لود شده بود حاوی یک رشتهی مشکوک بود:
https://gc.kis.v2.scr.kaspersky-labs.com/۹۳۴۴FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
قسمتی که در آدرس فوق بولد شده است دارای یک الگوی مشخص میباشد. این نوع ساختار با یک اصطلاح جهانی منحصر به فرد به نام Universally Unique Identifier (UUID) شناخته میشود.
Eikenberg، آنتیویروس کسپرسکی را بر روی کامپیوترهای دیگر نیز نصب نمود و متوجه شد که UUID در آدرس منبع هر یک از کامپیوترها با دیگری متفاوت است. وی همچنین دریافت که شناسهها (IDs) ماندگار هستند و با گذشت زمان تغییر نمیکنند. این بدان معنی است که شناسه به طور دائمی با هر سیستمی که بر روی آن آنتیویروس کسپرسکی نصب شده است در ارتباط بوده است.
"این ایدهی بسیار بدی است. سایر اسکریپتهایی که در بستر دامنهی وبسایت اجرا میشوند، میتوانند در هر زمانی به کل کد HTML دسترسی پیدا کنند، و این بدان معنی است که میتوانند ID کسپرسکی را بخوانند. به عبارت دیگر، هر وبسایتی میتواند ID کسپرسکی را بخواند و از آن برای ردیابی کاربران استفاده کند. اگر همان شناسه جهانی منحصر به فرد برگردد، یا در وبسایت دیگری از همان اپراتور ظاهر شود، وبسایتها میتوانند ببینند که از همان کامپیوتر استفاده میشود. اگر این فرض درست باشد، کسپرسکی یک مکانیزم ردیابی خطرناک ایجاد نموده است که کوکیهای به ظاهر قدیمی را ردیابی میکند. در این حالت، وبسایتها میتوانند کاربران کسپرسکی را ردیابی کنند، حتی اگر آنها از مرورگر دیگری استفاده نمایند. بدتر از آن این است که ردیابی در حالت پیشرفتهتر حتی میتواند بر حالت ناشناس مرورگر غلبه کند!"
Eikenberg این مشکل را به کسپرسکی گزارش نمود و باگ مذکور در ماه جولای توسط شرکت برطرف شد. اکنون مقدار یکسان (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) به تمام کاربران اختصاص داده میشود.
کسپرسکی این باگ امنیتی (CVE-2019-8286) را در محصولات خود، که میتوانند حریم خصوصی کاربران را با استفاده از این شناسه منحصر به فرد به خطر بیندازند برطرف نموده است.
محصولات تحت تأثیر این آسیبپذیری:
Kaspersky Anti-Virus up to 2019
Kaspersky Internet Security up to 2019
Kaspersky Total Security up to 2019
Kaspersky Free Anti-Virus up to 2019
Kaspersky Small Office Security up to 6
کارشناسان خاطرنشان کردند که قابلیت URL Advisor هنوز هم میتواند امنیت وبسایت را بر روی کامپیوتری که دارای آنتیویروس کسپرسکی میباشد بررسی کند، اطلاعاتی که میتوانند به طُرُق مختلف توسط اسکمرها مورد استفاده قرار گیرند.
به گفتهی کارشناسان، این اطلاعات برای مهاجمان بسیار ارزشمند است. چرا که آنها میتوانند از این اطلاعات برای توزیع بدافزار متناسب با نرمافزار حفاظتی سیستم، یا هدایت مرورگر به صفحات جعلی استفاده نمایند.
اگر میخواهید قابلیت URL Advisor را غیرفعال نمایید به صورت زیر عمل کنید:
settings→ additional→ network→ un-check traffic processing box
منبع خبر: https://securityaffairs.co/wordpress/89917/hacking/kaspersky-antivirus-flaw.html