德國電腦雜誌c't 本周披露，Winodws版的卡巴斯基（Kaspersky）防毒軟體暗藏隱私漏洞 ，可供網站追蹤用戶行為。 該雜誌定期會測試不同的防毒軟體產品，一名安裝了卡巴斯基防毒軟體的編輯Ronald Eikenberg，意外在某個所造訪網站的程式碼中，看到來自卡巴斯基的JavaScript腳本程 式，檢驗後發現它是卡巴斯基賦予每台電腦的ID。 於是只要是安裝了卡巴斯基的防毒軟體，不管是以Firefox、Edge或Opera瀏覽器造訪任何 網站，這些網站都會被注入含有同樣ID的JavaScript。而且當Eikenberg以其它安裝了卡 巴斯基防毒軟體的電腦造訪網站時，所呈現的ID便不同。 Eikenberg把它稱為Kaspersky ID，意謂著它是由卡巴斯基賦予每一台用戶電腦的身分， 只要能讀取Kaspersky ID的網站，就能利用該ID來追蹤使用者行為，可得知該名使用者是 否曾造訪過該站，不管是哪一家瀏覽器，即使是啟用無痕模式，都難逃被追蹤，有機會遭 到行銷人員或駭客的濫用。 此一隱私漏洞，影響卡巴斯基自2015年秋天發表的所有消費者版本的Windows防毒軟體， 從免費版到Kaspersky Internet Security與Total Security，也波及Small Office Security，估計影響數百萬名卡巴斯基用戶。 卡巴斯基在收到Eikenberg的通知之後，承認此一問題的存在，但指出相關攻擊太過複雜 且無利可圖，不過Eikenberg卻認為這是個嚴重的漏洞，若駭客或行銷人員在4年前漏洞現 身時，就打造一個網站來蒐集Kaspersky ID，現在應已具備強大的監控能力。 總之，卡巴斯基在Eikenberg的督促下分配了CVE-2019-8286編號予該漏洞，並於今年7月 修補。 Eikenberg在卡巴斯基修補之後再度進行測試，發現卡巴斯基把原本每一台電腦都具備的 ID改成產品ID，例如使用特定防毒軟體版本的用戶，都具備同樣的ID，使網站無法再辨識 個別的用戶。但Eikenberg覺得這還是有危險性存在，例如駭客就能藉由判斷防毒軟體版 本來客製化攻擊模式，亦再度向卡巴斯基提報漏洞。 不過，使用者也可在卡巴斯基防毒軟體的流量處理設定中，關閉「Inject script into web traffic to interact with web pages」功能，即能避免讓網站存取相關ID。 原文連結： https://www.ithome.com.tw/news/132471?fbclid=IwAR0je8ZM0p72nqddWPkAs0JGOswbVnx YdVK8mV5Kwby_b9LKjDDDipESoZc 縮網址：https://tinyurl.com/y4lcsxyn -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.43.191.10 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1566140479.A.321.html