info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

از قضا سرکنگبین صفرا فزود؛ افشای اطلاعات میلیون‌ها کاربر کسپراسکی

خلاصه: به طور پیش‌فرض کسپراسکی  به هر صفحه‌ای که بازدید می‌کنید، یک کد جاوااسکریپت تزریق می‌کند تا بررسی کند که آیا این صفحه وب جزء صفحات مشکوک هست یا نه. در این کد، کسپراسکی به هر کاربر یک شناسه یکتا اختصاص می‌دهد. این شناسه می‌تواند توسط وب‌سایت‌های مختلف شنود شود و در دسترس شرکت‌های مختلف قرار گیرد و حریم خصوصی کاربر را در معرض خطر قرار دهد.

 

در عصر دیجیتال موفقیت هر کسب‌و‌کاری در گرو این است که بتواند به خوبی کاربرانش را دنبال کند و علایق آن‌ها را دریابد تا بتواند تبلیغات هدفمندی برای آن‌ها فراهم کند و در معرض دیدشان قرار دهد. به این منظورکسب‌وکارهای دیجیتالی عمدتاً از کوکی‌های شخص ثالث استفاده می‌کنند. کوکی‌های شخص ثالث بر خلاف کوکی‌های معمولی که روی خود سیستم کاربر ذخیره می‌شوند بر دامنه‌ای غیر از دامنه‌ای که در حال بازدید از آن هستید، فعال هستند و به شرکت‌هایی مانند گوگل و فیس‌بوک اجازه می‌دهند که فعالیت شما را ردیابی کنند.

بسیاری از کاربران به دلایل مختلف اما عمدتاً برای حفظ امنیت و حریم خصوصی خود، این کوکی‌ها را غیرفعال می‌کنند. این در حالی است که اگر از آنتی‌ویروس کسپراسکی (Kaspersky) استفاده کنید، این آنتی‌ویروس باعث می‌شود که فعالیت شما توسط وب‌سایت‌های مختلف مورد ردیابی قرار بگیرد، حتی اگر استفاده از کوکی های شخص ثالث را غیرفعال کرده باشید.

این آسیب‌پذیری که با شناسه CVE-2019-8286 شناسایی می‌شود را محققی به نام رونالد آیکنبرگ کشف کرده است و در مکانیزم وارسی URL درون آنتی ویروس با نام Kaspersky URL Advisor قرار دارد.

به طور پیش‌فرض کسپراسکی  به هر صفحه‌ای که بازدید می‌کنید، یک کد جاوااسکریپت تزریق می‌کند تا بررسی کند که آیا این صفحه وب جزء صفحات مشکوک هست یا نه. در واقع اکثر آنتی‌ویروس‌ها برای محافظت از کاربران خود در برابر چنین صفحاتی، این کار را انجام می‌دهند. اما آیکنبرگ دریافته است که درون آدرس اسکریپت یادشده، رشته‌ای موجود است که برای هر کاربر آنتی‌ویروس کسپراسکی متفاوت است. در حقیقت کسپراسکی به هر کاربر یک شناسه یکتا می‌دهد که به آن Universally Unique Identifier با مخفف UUID گفته می‌شود. بدیهی است که این شناسه می‌تواند توسط وب‌سایت‌های مختلف شنود شود و در دسترس شرکت‌های مختلف قرار گیرد و حریم خصوصی کاربر را در معرض خطر قرار دهد.

رونالد آیکنبرگ در این مورد بیان می‌کند: «این یک اتفاق بد است زیرا تمام اسکریپت‌هایی که درون دامنه یک وب‌سایت مورد استفاده قرار می‌گیرند، می‌توانند در هر زمانی هم به کد HTML صفحه دسترسی داشته باشند و هم به شناسه کاربران کسپراسکی. به زبان ساده، هر وب‌سایتی می‌تواند این شناسه را شنود کند و برای ردیابی کاربران از آن سو‌ءاستفاده کند. شناسه‌ها ثابت هستند و تا چندین روز تغییر نمی‌کنند و واضح است که یک شناسه به طور دائم برای یک کامپیوتر منظور می‌گردد».

پس از آن که آیکنبرگ این آسیب‌پذیری را به کسپراسکی اطلاع داد، خوش‌بختانه کسپراسکی از این گزارش استقبال کرد و به جای استفاده از شناسه منحصر به فرد، مقدار ثابتی به تمام کاربران خود اختصاص داده است. به این ترتیب آسیب‌پذیری ذکرشده، وصله شده است.

البته از آنجایی که مقدار ثابت است، وب‌سایت‌ها می‌توانند بررسی کنند که آیا بر روی کامپیوتر کاربر، آنتی‌ویروس کسپراسکی نصب هست یا نه. از نظر آیکنبرگ این موضوع می‌تواند به طور غیرمستقیم مورد سوءاستفاده قرار گیرد به عنوان مثال یک مهاجم می‌تواند با نمایش صفحه‌ای به کاربر با مضمون «لایسنس کسپراسکی شما منقضی شده‌است! لطفا شماره کارت بانکی خود را وارد کنید تا نرم افزار فعال گردد.» اطلاعات کاربر را سرقت کند.

بنابراین اگرچه همچنان حتی با وجود نسخه به‌روز و وصله‌شده کسپراسکی، نگران مشکل ذکرشده هستید می‌توانید قابلیت ردیابی کسپراسکی را غیرفعال کنید. به این منظور به بخش تنظیمات بروید و در بخش additional و سپس network، تیک بخش traffic processing را بردارید.

    

تحت نظارت وف ایرانی