尴尬了,卡巴斯基反病毒软件存在漏洞允许在线跟踪用户
番茄系统家园 · 2022-05-10 02:37:37
“这样有点蠢,因为运行的其他脚本可以随时访问HTML代码 ,这意味着任何网站都可以简单地读取用卡巴斯基的用户ID并且跟踪。这些 ID 在几天之后没有变化,说明这个 ID 可以永久分配给特定的计算机。”研究人员说。
注意到,研究人员向卡巴斯基报告了他发现的漏洞,卡巴斯基也坦诚承认了这个问题并在上个月通过为所有用户分配一个恒定值(FD126C42-EBFA-4E12-B309-BB3FDD723AC1)而不是在 JavaScript URL 中使用 UUID。
“卡巴斯基已在其产品中修复了这个安全问题(CVE-2019-8286),该问题可能通过使用第三方可访问的唯一产品 ID 来潜在地损害用户隐私。”卡巴斯基在其公告中承认。
但是,卡巴斯基 URL Advisor 功能仍然允许网站和第三方服务能够查明访问者是否在其系统上安装了卡巴斯基软件,研究人员认为该软件可能间接被诈骗和网络犯罪分子滥用。
研究人员提醒:“攻击者可以使用此信息将其重定向到合适的诈骗页面,比如谎称‘您的卡巴斯基许可证已过期,请输入您的信用卡号码以续订订阅’。”
目前,卡巴斯基已经向受影响的用户提供了 Kaspersky Antivirus、Internet Security、Total Security、Free Antivirus 和 Small Office Security 产品的更新版本。
提醒,如果用花想要完全禁用此跟踪功能,可以自己手动设置:附加→网络→取消检查流量处理框手动禁用 URL Advisor 功能。
编译自:the Hacker News 。
免责声明: 凡标注转载/编译字样内容并非本站原创,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如果你觉得本文好,欢迎推荐给朋友阅读;本文链接: https://m.nndssk.com/dngz/3501534WiSM2.html。猜你喜欢
最新应用
热门应用
