Правда о «шпионском» баге в решениях «Лаборатории Касперского»

Что произошло?
Рональд Айкенберг (Ronald Eikenberg) из журнала  c’t  обнаружил, что домашние продукты «Лаборатории Касперского» используют уникальные идентификаторы в скриптах, когда пользователи посещают веб-сайты. По словам журналиста, теоретически с помощью этих идентификаторов можно следить за активностью пользователей в Интернете.
Проблема, получившая номер  CVE-2019-8286 , затронула Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 и Kaspersky Free Antivirus 2019, а также более ранние версии этих решений. Айкенберг связался с нами, и мы оперативно устранили баг. Соответствующее исправление для всех затронутых продуктов вышло еще в июне, и огромное количество пользователей уже обновили свое ПО.
В чем суть проблемы?
Практически в каждую страницу, загружаемую пользователем домашних продуктов «Лаборатории Касперского», наше решение встраивало специальный код, который среди прочего содержит 32-символьный идентификатор. До исправления бага все страницы, которые посещал конкретный пользователь, получали один и тот же идентификатор, уникальный для этого пользователя.
В теории это позволяло владельцам сайтов, на которых размещались эти веб-страницы, отслеживать, заходил ли конкретный пользователь «Лаборатории Касперского» на тот или иной сайт и сколько раз — даже если он делал это в режиме инкогнито. Для этого, правда, требовалось, чтобы сайты обменивались информацией друг с другом.
Сейчас все исправлено?
Да, 7 июня 2019 года мы выпустили специальный патч и автоматически отправили его всем пользователям затронутых продуктов. Если с момента выхода патча ваш компьютер подключался к Интернету и вы разрешали ему обновляться, будьте уверены — исправление уже установлено, и вам ничего не нужно делать.
Что изменилось? Теперь обновленные решения «Лаборатории Касперского» присваивают всем пользователям одинаковые идентификаторы, поэтому единственное, что можно из них извлечь, — это сведения об используемом продукте (Kaspersky Anti-Virus, Kaspersky Internet Security и так далее). Идентификаторы больше не уникальны для конкретных пользователей, и, следовательно, по ним нельзя отследить их действия.
Как возникла проблема?
Чтобы обнаруживать потенциально вредоносные скрипты на веб-странице до того, как она будет полностью загружена и отображена в браузере, продукты «Лаборатории Касперского» внедряют в нее специальный JavaScript-код. Этот метод не уникален для решений «Лаборатории Касперского» — по такому принципу работают многие веб-антивирусы. Наш код JavaScript включает идентификатор, который раньше был уникальным для каждого пользователя, а теперь одинаковый для всех пользователей каждого из продуктов.
Почему ничего страшного в произошедшем нет?
Порой СМИ специально раздувают проблему, чтобы привлечь к себе внимание. Именно это и произошло в этот раз. Теоретически использование уникальных идентификаторов могло иметь реальные последствия. Их три.
Первое (об этом мы писали выше): с помощью уникальных идентификаторов маркетологи могли бы собирать информацию о пользователях, посещавших сайты. Но она была бы крайне скудной. Сегодня есть более простой способ получить нужные сведения — специальные рекламные системы вроде тех, что реализованы в Facebook или Google. Они предоставляют куда больше информации, поэтому их использует большинство владельцев сайтов. А в слежке через идентификаторы защитных решений просто нет смысла.
Второе: теоретически злоумышленники могли использовать полученные сведения для создания вредоносной программы, нацеленной на клиентов «Лаборатории Касперского», и попытаться распространить ее среди них. Такой сценарий применим к любой программе, изменяющей код веб-страницы на стороне пользователя. Однако это крайне маловероятно: просто создать вредоносное ПО недостаточно — нужно еще доставить его пользователю и запустить на его устройстве. Для этого его нужно заманить на вредоносный сайт, чему будут активно препятствовать наши антифишинговый модуль и веб-антивирус.
Третье: база с данными посетителей веб-сайтов могла быть использована для фишинга. Пожалуй, это самое вероятное из всех потенциальных последствий. Однако, как и в случае с вредоносным ПО, для злоумышленника это не самый простой путь. Куда проще было бы воспользоваться сведениями, находящимися в открытом доступе по воле пользователя или в результате многочисленных утечек.
Как бы то ни было, никакой вредоносной активности, связанной с идентификаторами, обнаружено не было. Теперь же проблема решена, и преступники ничего не смогут предпринять.
Поэтому заявление о том, что наши решения позволяют шпионить за пользователями, — сильное преувеличение. Да, в продуктах был незначительный баг, и теоретически с его помощью можно было получить очень ограниченное количество информации о пользователях, но, повторимся, мы его устранили.
А что делать мне?
Если ваше защитное решение обновляется автоматически (именно такой способ обновления мы рекомендуем), установка исправления даже не потребует вашего участия.

Проверьте, обновлено ли ваше защитное решение. Скорее всего, это так и есть. Но если нет, мы рекомендуем это сделать. Чтобы обновить продукт, нажмите на значок в области уведомлений и выберите  Обновление  в главном меню. Пользователям решений версии 2020 также следует это сделать – ранние сборки для устранения проблемы нужно обновить.
Если вы все еще переживаете и не хотите, чтобы веб-сайты в принципе могли знать, что вы пользуетесь решениями «Лаборатории Касперского», вы можете отключить внедрение скриптов. Для этого перейдите в  Настройки , затем в  Параметры сети . Снимите галочку с пункта <em >Внедрять в трафик скрипт взаимодействия с веб-страницами  в разделе  Обработка трафика  . Но учтите, что при отключении этого параметра уровень вашей защиты снизится, поэтому мы не рекомендуем это делать.

Источник
Batafsil | Подробно | Read more... InfoCOM