קספרסקי מציבה את המשתמשים שלה בסיכון כמעט 4 שנים

קספרסקי

כאשר אנו מתקינים אנטי-וירוס במחשב או בטלפון הנייד שלנו, אנו עושים זאת, באופן עקרוני, כדי להגן על עצמנו מפני האיומים המאיימים עלינו באמצעות האינטרנט . עם זאת, נראה שכשמדובר באנטי-וירוס, כל הנוצץ אינו זהב. לפחות במקרה של קספרסקי, שזה עתה שוחרר כעת.

במשך ארבע שנים לפחות מוצרי האנטי-וירוס של מעבדת קספרסקי פגעו באבטחת הלקוחות שהתקינו אותם. אֵיך? ובכן, כפי שפורסם זה עתה, באמצעות הזרקת קוד מזהה ייחודי ב- HTML של כל אחד מדפי האינטרנט שהמשתמש ביקר בהם. באופן זה, כל אתר יכול לזהות משתמש כאשר הוא משתמש במצב גלישה בסתר בדפדפן או כאשר הוא מחליף דפדפנים לשימוש ב- Chrome, Firefox או Edge.

המידע, שפורסם בכתב העת c't Magazine, מגלה כי קוד זה הוזרק על ידי קספרסקי על ידי כל דף בו ביקר המשתמש. זה שימש להזנת קוד ירוק , שייצג קישור מאובטח, שהוחזר בתוצאות החיפוש. זה היה כדלקמן:

אבטחה-קספרסקי -01

קוד שאפשר לעקוב אחריו, גם במצב גלישה בסתר

האחראי לממצא זה הוא רונלד אייקנברג, שמצא מ- Kaspersky את ה- JavasScript המפורסם שהוזרק על ידי האנטי-וירוס שהתקין במחשב שלו. זה יצר תווית ייחודית - סוג של קוד עם מספרים ואותיות שונות (במיוחד 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615) - שהוזרק לכל אחד מהדפים שביקרו דרך הדפדפן.

זה קרה גם עם כל דפדפן. הוא בדק את זה באמצעות Chrome, Firefox, Edge ו- Opera. והתוצאה תמיד הייתה זהה. למעשה, הקוד של איש אחד הוזרק ל- HTML של הדפים גם כאשר הגישה אליו מהדפדפן במצב גלישה בסתר. אותו קוד יכול להשתמש באחראים לאתר כלשהו אם הם רוצים לעקוב אחריו כמשתמש.

אבטחת סייבר-3400723_1280 (1)

קספרסקי פעלה באופן זה 4 שנים

האמת היא שזה לא קורה זמן קצר. שום דבר אינו רחוק יותר מהמציאות. קספרסקי הציגה את המזהה המפורסם בסתיו 2015 ולאחר אזהרתו של אייקנברג בפני החברה עצמה, היא הפסיקה להשתמש בו. זה קרה ביוני השנה, אז Kaskpersy השתמשה בו כמעט ארבע שנים ובכל הגרסאות של אנטי-וירוס לחלונות שהחברה העמידה לרשות המשתמשים. גם בגרסאות שניתן להוריד בחינם והן Kaspersky Internet Security ו- Kaspersky Total Security.

בעיית האבטחה זוהתה באמצעות הקוד הבא CVE-2019-8286. עבור מומחים, הוספת מזהה ייחודי היא אפשרות מיותרת לחלוטין, אם כי ישנן גם מערכות אחרות שיכולות לעזור בזיהוי המשתמש, כמו קובצי Cookie וכתובות IP . כך או כך, אנו לא עומדים בפני אפשרות אידיאלית לשמור על פרטיות המשתמשים.

קספרסקי מצדה לא איטי להציע הצהרה בה הוא מכיר בכך שהמזהים הייחודיים בוטלו, לאחר שנודע על ידי העיתונאי הנ"ל, אליו הם מודים על עבודתו. עם זאת, הם סבורים כי בעוד שמזהים יכולים לשמש לזיהוי משתמשים, סביר להניח שפושעי רשת לא יעקבו אחר מאפיינים אלה. ראשית משום שמדובר בהליך מורכב ושנית משום שהוא לא יהיה רווחי.