【信你一成】Kaspersky 防毒軟件助長追蹤活動
裝得防毒軟件,梗係希望可以攔截病毒或去錯虛假網站,但如果佢會洩漏你嘅行蹤,你又會唔會用?
網絡防毒軟件供應商 Kaspersky 嘅產品,最近就被發現原來有呢種「附加功能」,而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現,Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security,喺用戶訪問每個網站時,都會遙距注入一個 JavaScript 檔案去目標網站,以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky URL Advisor 嘅安全掃描模組原意係好,但執行過程竟然隱藏漏洞。
隱藏 Kaspersky 用戶身份
經過分析同一用戶訪問唔同網站時發出嘅 JavaScript 檔案後,Ronald 發現內裡竟然藏有一條相當於用戶身份嘅編碼,通過追蹤呢個 ID,就可以知道係咪同一個用戶,即使你已經開啟咗隱藏瀏覽模式都好,被訪問嘅網站一樣可以透過呢個 ID 認人。
經通報後,Kaspersky 好快修復咗呢個被歸類為「User Data disclosure」嘅漏洞,執行遙距注入 JavaScript 檔案去確認網站真偽時,入面都只會出現一條統一嘅編碼,咁就唔怕追蹤到特定用戶嘅行徑,用嚟做廣告推播或針對性市場推廣。不過,呢種做法又帶嚟另一個問題,專家話只要偵測到呢條編碼,就知道係 Kaspersky 嘅用戶,黑客就可以用嚟發動虛假網絡攻擊,例如彈出一個模仿 Kaspersky 防毒軟件重新登入或過期續款嘅視窗呃個人私隱或信用卡帳戶資料。如果唔想受騙,用戶都可以手動取消呢項功能,只要進入「Settings」>「Additional」>「Network」,再取消「Traffic Processing」選項就得,但就要犧牲網站檢查功能喇。
相關文章:【自身難保】研究發現近半 Android 防毒軟件有問題
