20/08/2019

Podobno luka w produktach Kaspersky może zostać użyta do szpiegowania. Czy to prawda?

Produkty

Może słyszeliście, że firma Kaspersky szpieguje swoich klientów lub pomaga to robić innym. Część tych zarzutów już została rozwiana, jednak ostatnio pojawiły się nowe, zgodnie z którymi Kaspersky naraża użytkowników na śledzenie przez wiele stron. Dziś postaramy się wyjaśnić to w naszym poście.

O co chodzi?

Pracujący dla magazynu c’t dziennikarz Ronald Eikenberg poinformował, że gdy użytkownicy korzystają ze stron internetowych, produkty dla domu firmy Kaspersky stosują unikatowe identyfikatory w skryptach, które mogą zostać potencjalnie użyte do identyfikowania użytkowników.

Problem (któremu nadano nazwę CVE-2019-8286) dotyczy produktów Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 oraz Kaspersky Free Antivirus 2019, jak również wcześniejszych wersji tych pakietów oprogramowania. Eikenberg skontaktował się z nami, dzięki czemu mogliśmy rozwiązać ten problem. Stosowna łata dla wszystkich dziurawych produktów została wydana w czerwcu, a zainstalowała ją znaczna część użytkowników.

W czym tkwił problem?

Niemal każda strona, którą otwiera użytkownik produktu firmy Kaspersky, zawiera kod, który obejmuje między innymi unikatowy 32-znakowy kod użytkownika. Pozostaje on taki sam dla tego użytkownika na wszystkich stronach internetowych.

Potencjalnie mogłoby to umożliwić właścicielom takich stron śledzenie, gdy użytkownik danego produktu Kaspersky odwiedzi jedną z jego stron, a być może wróci na nią w późniejszym czasie. Jednak aby takie śledzenie było efektywne — a może ono działać nawet w trybie incognito — wymaga wymiany informacji między stronami.

Czy luka została już wyeliminowana?

Tak, łatę eliminującą ten problem udostępniliśmy 7 czerwca 2019 roku. Została ona automatycznie dostarczona do użytkowników wszystkich wymienionych produktów, więc nikt nie musi zajmować się tą kwestią osobiście — jeśli komputer ma połączenie z internetem, a użytkownik nie zablokował uaktualniania automatycznego produktu, problem jest rozwiązany.

Wszystkie zaktualizowane produkty dla domu firmy Kaspersky dają wszystkim użytkownikom ten sam zestaw identyfikatorów, a więc strony otrzymują informacje tylko o używanym produkcie (np. Kaspersky Anti-Virus, Kaspersky Internet Security lub innym). Nie są one unikatowe, więc nie mogą zostać użyte do śledzenia.

Dlaczego tak się dzieje?

Aby wykryć potencjalnie szkodliwy skrypt na stronach internetowych, zanim zacznie on działać, produkty firmy Kaspersky wstrzymują kod JavaScript do otwieranej strony. Funkcja ta nie jest charakterystyczna dla produktów Kaspersky — tak działają wszystkie rozwiązania zapewniające ochronę w internecie. Nasz kod JavaScript zawierał taki identyfikator — wcześniej rzeczywiście był on unikatowy, lecz teraz został zmieniony tak, aby dla każdego użytkownika był taki sam.

Dlaczego nie jest to takie straszne?

Czasami media rozdmuchują problemy, aby przyciągnąć uwagę czytelników. Tak było i w tym przypadku. Teoretycznie problem ten mógł mieć wpływ na pewne kwestie. Oto niektóre z nich.

Pierwszą opisaliśmy już powyżej: osoby badające rynek mogłyby teoretycznie użyć tych identyfikatorów do profilowania osób odwiedzających ich strony internetowe. Jednak każdy profil przygotowany w ten sposób byłby bardzo skromny. Znacznie łatwiej jest wykorzystać do tego celu prawdziwe systemy reklamowe, które wykorzystuje na przykład Facebook czy Google, aby śledzić użytkowników — takie systemy dostarczają badaczom rynku więcej informacji na temat użytkownika. Tak właśnie postępuje większość właścicieli stron. A w związku z tym wykorzystywanie do tego celu identyfikatorów dostarczanych przez rozwiązania ochronne nie jest atrakcyjną alternatywą.

Druga sprawa, która wiąże się z tym faktem, jest następująca: atakujący mógłby zgromadzić takie adresy i przygotować szkodliwy program, który atakuje wyłącznie użytkowników produktów Kaspersky — i promować je wśród nich. Tak samo wygląda sytuacja w przypadku każdego programu, który zmienia kod strony internetowej po stronie użytkownika. Scenariusz ten jest jednak mało prawdopodobny; atakujący musiałby nie tylko przygotować taki szkodliwy program, ale również umieścić go na komputerze i uruchomić. Wymagałoby to nakłonienia użytkownika do odwiedzenia szkodliwej strony internetowej, a ponieważ nasze rozwiązanie chroni przed phishingiem i wirusami na stronie internetowej, ostrzegłby użytkownika o zagrożeniu.

Trzecia kwestia: baza danych zawierająca informacje o osobach odwiedzających daną stronę internetową może zostać użyta do przeprowadzenia ataku phishingowego. Jednak znacznie łatwiejsze byłoby tu wykorzystywanie publicznie dostępnych informacji lub niedawnych wycieków.

Tak czy inaczej, nikt nie zaobserwował żadnych szkodliwych aktywności z wykorzystaniem tych unikatowych identyfikatorów. Teraz, gdy problem został naprawiony, atakujący i tak nie mogą zrobić z niego użytku.

Ktoś może więc powiedzieć, że nasza firma umożliwia szpiegowanie, jednak to bardzo naciągane stwierdzenie. Błąd, który mógł potencjalnie umożliwiać śledzenie przez podmioty zewnętrzne w bardzo ograniczonym zakresie, został już wyeliminowany.

Co należy zrobić?

Zainstalowanie łaty jest proste — wystarczy nie wyłączać w produkcie opcji samodzielnej aktualizacji, co od zawsze zalecamy.

  • Sprawdź, czy Twoje rozwiązanie firmy Kaspersky zostało zaktualizowane. Prawdopodobnie tak, a w przeciwnym razie dokonaj tego ręcznie, aby zapewnić sobie optymalną ochronę. Aby zaktualizować produkt, kliknij jego ikonę w zasobniku systemowym i wybierz w menu opcję Aktualizuj.
  • A jeśli martwisz się, że strony internetowe będą wiedzieć, jakiego rozwiązania firmy Kaspersky używasz, wyłącz wstrzykiwanie skryptów. W tym celu przejdź do Ustawień, a następnie wybierz sekcję Ustawienia sieci. Usuń zaznaczenie pola Wstrzykuj skrypt do ruchu sieciowego w celu interakcji ze stronami internetowymi w sekcji Przetwarzanie ruchu sieciowego. Pamiętaj jednak, że zmniejszasz w ten sposób swój poziom ochrony, dlatego nie zalecamy takiego działania.