Falha no Kaspersky expõe usuários a rastreamento de Cross-Site durante 4 anos

Falha no Kaspersky expõe usuários a rastreamento de Cross-Site durante 4 anos. Nesta era digital, o sucesso de quase todas as empresas de marketing, publicidade e análise impulsiona o rastreamento de usuários pela Internet para identificá-los e aprender seus interesses para fornecer anúncios segmentados, relata o The Hacker News.

A maioria dessas soluções se baseia em cookies de terceiros, um conjunto de cookies em um domínio diferente daquele em que você está navegando, o que permite que empresas como Google e Facebook digitalizem você para rastrear cada movimento em vários sites.

No entanto, o pesquisador de segurança independente Ronald Eikenbergse descobriu que se você estiver usando o Antivirus Kaspersky, uma vulnerabilidade no software de segurança expôs um identificador exclusivo associado a você a todos os websites que você visitou nos últimos quatro anos, o que pode permitir que esses sites e outros serviços de terceiros o acompanhem na Web, mesmo que você tenha bloqueado ou apagado os cookies de terceiros rapidamente.

A vulnerabilidade, identificada como CVE-2019-8286 descoberta Ronald Eikenberg, reside na maneira como funciona um módulo de varredura de URL integrado ao software antivírus, chamado Kaspersky URL Advisor .

Por padrão, o Kaspersky Internet Security Solution insere um arquivo JavaScript hospedado remotamente diretamente no código HTML de todas as páginas da Web que você visita – para todos os navegadores da Web, mesmo no modo de navegação anônima – em uma tentativa de verificar se a página pertence à lista de suspeitos e endereços da web de phishing.

Fonte: The Hacker News

O The Hacker News lembra que isto não é surpresa, já que a maioria das soluções de segurança da Internet funciona da mesma forma para monitorar páginas da Web em busca de conteúdo malicioso.

No entanto, Eikenberg descobre que o URL desse arquivo JavaScript contém uma string única para cada usuário do Kaspersky, uma espécie de UUID (Universally Unique Identifier) ​​que pode ser facilmente capturado por sites, outros serviços de publicidade e análise de terceiros, colocando sua privacidade dos usuários em risco.


Eikenberg diz que “Essa é uma má ideia porque outros scripts que são executados no contexto do domínio do site podem acessar o código HTML a qualquer momento o ID do Kaspersky injetado. Isso significa que qualquer site pode simplesmente ler o ID do Kaspersky do usuário. e usá-lo para rastreamento mal intencionado “.

“Os IDs eram persistentes e não mudaram depois de vários dias. Isso deixou claro que um ID pode ser atribuído permanentemente a um computador específico”, complementa.

Segundo o The hacker News, a Kaspersky, que reconheceu o problema e o corrigiu no mês passado, após o aviso de Eikenberg, atribuindo um valor constante ( FD126C42-EBFA-4E12-B309-BB3FDD723AC1 ) a todos os usuários, em vez de usar o UUID na URL do JavaScript.

A Kaspersky corrigiu um problema de segurança (CVE-2019-8286) em seus produtos, o que poderia comprometer a privacidade do usuário usando um ID de produto exclusivo, acessível a terceiros“, diz a empresa em seu comunicado .

A Kaspersky corrigiu um problema de segurança (CVE-2019-8286) em seus produtos, o que poderia comprometer a privacidade do usuário usando o ID de produto exclusivo que era acessível a terceiros. Esse problema foi classificado como divulgação de dados do usuário. O invasor precisa preparar e implantar um script mal-intencionado nos servidores da Web, de onde ele rastreará o usuário”

Produtos Afetados 

No comunicado a Kaspersky divulgou a lista de produtos afetados e os corrigidos:

Lista de produtos afetados
  • Kaspersky Anti-Virus até 2019
  • Kaspersky Internet Security até 2019
  • Kaspersky Total Security até 2019
  • Kaspersky Free Anti-Virus até 2019 
  • Kaspersky Small Office Security até 6
Versões Corrigidas
  • Kaspersky Anti-Virus 2019 Patch F
  • Kaspersky Internet Security 2019 Patch F
  • Kaspersky Total Security 2019 Patch F
  • Kaspersky Free Anti-Virus 2019 Patch F 
  • Correção F do Kaspersky Small Office Security 6

A versão atualizada foi entregue automaticamente aos usuários do KAV 2019, KIS 2019, KTS 2019 usando o procedimento de atualização automática em 7 de junho de 2019. Nossas recomendações para usuários ou versões anteriores dos produtos devem ser atualizadas para as versões mencionadas acima.

Fonte: The Hacker News & Kaspersky

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. VPNs da Pulse Secure e Fortinet sem correções são alvos de Hackers

Deixe sua opinião!