雷鋒網(wǎng)消息，美國時間 8月15日，據(jù)外媒 the Hacker News 報道，研究人員在卡巴斯基反病毒軟件中發(fā)現(xiàn)了一個漏洞，該漏洞允許訪問過的網(wǎng)站和商業(yè)第三方服務(wù)在線跟蹤用戶。

這個漏洞為CVE-2019-8286，存在于卡巴斯基反病毒軟件的名為“ Kaspersky URL Advisor”的 URL 掃描模塊中。該漏洞暴露了過去 4 年用戶訪問過的每個網(wǎng)站的關(guān)聯(lián)唯一標(biāo)識符，該標(biāo)識符的暴露允許訪問過的網(wǎng)站和商業(yè)第三方服務(wù)在線跟蹤用戶。

在默認情況下，卡巴斯基互聯(lián)網(wǎng)安全解決方案將遠程托管的 JavaScript 文件直接注入用戶訪問的每個網(wǎng)頁的HTML代碼中，且適用于所有瀏覽器，即使是在隱身模式下，因為它試圖檢查該網(wǎng)頁是否屬于可疑列表和網(wǎng)絡(luò)釣魚網(wǎng)址。但是，安全人員發(fā)現(xiàn)，這個 JavaScript 文件的 URL 包含一個字符串，該字符串對于每個卡巴斯基用戶都是唯一的，可以其他第三方廣告和分析服務(wù)輕松捕獲的UUID（通用唯一標(biāo)識符），造成隱私泄漏。

“這樣有點蠢，因為運行的其他腳本可以隨時訪問HTML代碼 ，這意味著任何網(wǎng)站都可以簡單地讀取用卡巴斯基的用戶ID并且跟蹤。這些 ID 在幾天之后沒有變化，說明這個 ID 可以永久分配給特定的計算機。”研究人員說。

雷鋒網(wǎng)注意到，研究人員向卡巴斯基報告了他發(fā)現(xiàn)的漏洞，卡巴斯基也坦誠承認了這個問題并在上個月通過為所有用戶分配一個恒定值（FD126C42-EBFA-4E12-B309-BB3FDD723AC1）而不是在 JavaScript URL 中使用 UUID。

“卡巴斯基已在其產(chǎn)品中修復(fù)了這個安全問題（CVE-2019-8286），該問題可能通過使用第三方可訪問的唯一產(chǎn)品 ID 來潛在地損害用戶隱私。”卡巴斯基在其公告中承認。

但是，卡巴斯基 URL Advisor 功能仍然允許網(wǎng)站和第三方服務(wù)能夠查明訪問者是否在其系統(tǒng)上安裝了卡巴斯基軟件，研究人員認為該軟件可能間接被詐騙和網(wǎng)絡(luò)犯罪分子濫用。

研究人員提醒：“攻擊者可以使用此信息將其重定向到合適的詐騙頁面，比如謊稱‘您的卡巴斯基許可證已過期，請輸入您的信用卡號碼以續(xù)訂訂閱’?！?/p>

目前，卡巴斯基已經(jīng)向受影響的用戶提供了 Kaspersky Antivirus、Internet Security、Total Security、Free Antivirus 和 Small Office Security 產(chǎn)品的更新版本。

雷鋒網(wǎng)提醒，如果用花想要完全禁用此跟蹤功能，可以自己手動設(shè)置：附加→網(wǎng)絡(luò)→取消檢查流量處理框手動禁用 URL Advisor 功能。

雷鋒網(wǎng)編譯自：the Hacker News 。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。