Falha no Kaspersky expõe usuários a rastreamento de Cross-Site durante 4 anos

Falha no Kaspersky expõe usuários a rastreamento de Cross-Site durante 4 anos. Nesta era digital, o sucesso de quase todas as empresas de marketing, publicidade e análise impulsiona o rastreamento de usuários pela Internet para identificá-los e aprender seus interesses para fornecer anúncios segmentados, relata o The Hacker News.

A maioria dessas soluções se baseia em cookies de terceiros, um conjunto de cookies em um domínio diferente daquele em que você está navegando, o que permite que empresas como Google e Facebook digitalizem você para rastrear cada movimento em vários sites.

No entanto, o pesquisador de segurança independente Ronald Eikenbergse descobriu que se você estiver usando o Antivirus Kaspersky, uma vulnerabilidade no software de segurança expôs um identificador exclusivo associado a você a todos os websites que você visitou nos últimos quatro anos, o que pode permitir que esses sites e outros serviços de terceiros o acompanhem na Web, mesmo que você tenha bloqueado ou apagado os cookies de terceiros rapidamente.

A vulnerabilidade, identificada como CVE-2019-8286 descoberta Ronald Eikenberg, reside na maneira como funciona um módulo de varredura de URL integrado ao software antivírus, chamado Kaspersky URL Advisor .

Por padrão, o Kaspersky Internet Security Solution insere um arquivo JavaScript hospedado remotamente diretamente no código HTML de todas as páginas da Web que você visita – para todos os navegadores da Web, mesmo no modo de navegação anônima – em uma tentativa de verificar se a página pertence à lista de suspeitos e endereços da web de phishing.

O The Hacker News lembra que isto não é surpresa, já que a maioria das soluções de segurança da Internet funciona da mesma forma para monitorar páginas da Web em busca de conteúdo malicioso.

No entanto, Eikenberg descobre que o URL desse arquivo JavaScript contém uma string única para cada usuário do Kaspersky, uma espécie de UUID (Universally Unique Identifier) ​​que pode ser facilmente capturado por sites, outros serviços de publicidade e análise de terceiros, colocando sua privacidade dos usuários em risco.

Eikenberg diz que “Essa é uma má ideia porque outros scripts que são executados no contexto do domínio do site podem acessar o código HTML a qualquer momento o ID do Kaspersky injetado. Isso significa que qualquer site pode simplesmente ler o ID do Kaspersky do usuário. e usá-lo para rastreamento mal intencionado “.

“Os IDs eram persistentes e não mudaram depois de vários dias. Isso deixou claro que um ID pode ser atribuído permanentemente a um computador específico”, complementa.

Segundo o The hacker News, a Kaspersky, que reconheceu o problema e o corrigiu no mês passado, após o aviso de Eikenberg, atribuindo um valor constante ( FD126C42-EBFA-4E12-B309-BB3FDD723AC1 ) a todos os usuários, em vez de usar o UUID na URL do JavaScript.

“A Kaspersky corrigiu um problema de segurança (CVE-2019-8286) em seus produtos, o que poderia comprometer a privacidade do usuário usando um ID de produto exclusivo, acessível a terceiros“, diz a empresa em seu comunicado .

“A Kaspersky corrigiu um problema de segurança (CVE-2019-8286) em seus produtos, o que poderia comprometer a privacidade do usuário usando o ID de produto exclusivo que era acessível a terceiros. Esse problema foi classificado como divulgação de dados do usuário. O invasor precisa preparar e implantar um script mal-intencionado nos servidores da Web, de onde ele rastreará o usuário”

Produtos Afetados 

No comunicado a Kaspersky divulgou a lista de produtos afetados e os corrigidos:

Lista de produtos afetados

• Kaspersky Anti-Virus até 2019
• Kaspersky Internet Security até 2019
• Kaspersky Total Security até 2019
• Kaspersky Free Anti-Virus até 2019 
• Kaspersky Small Office Security até 6

Versões Corrigidas

• Kaspersky Anti-Virus 2019 Patch F
• Kaspersky Internet Security 2019 Patch F
• Kaspersky Total Security 2019 Patch F
• Kaspersky Free Anti-Virus 2019 Patch F 
• Correção F do Kaspersky Small Office Security 6

A versão atualizada foi entregue automaticamente aos usuários do KAV 2019, KIS 2019, KTS 2019 usando o procedimento de atualização automática em 7 de junho de 2019. Nossas recomendações para usuários ou versões anteriores dos produtos devem ser atualizadas para as versões mencionadas acima.

Fonte: The Hacker News & Kaspersky

Veja também:

• CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
• CrowdStrike expande presença internacional para atender à crescente demanda do cliente
• Berghem traz ao Brasil novas soluções de cybersecurity
• Servidores JIRA mal configurados vazam informações sobre usuários e projetos
• 21 aplicativos antivírus Android apresentam sérias vulnerabilidades
• PWC Grécia recebe multa de €150Mil por violar GDPR
• Vazamento da Capital One é uma das maiores violações dos EUA
• 90% dos usuários do iPhone Enterprise expostos à iMessage Spy Attack
• SecOps ou DevSecOps – que bicho é este ? pra que serve?
• Microsoft lança patch para vulnerabilidade similar ao Spectre e Meltdown
• Falhas no chipset da Qualcomm expõem milhões de dispositivos Android à hackers
• Apple suspende programa Siri após contestações sobre privacidade
• WPA3 o novo Protocolo de criptografia de Wi-Fi já apresenta sérias vulnerabilidades
• Cartões Visa Contactless Vulneráveis ​​aos Fraudadores