Правда о «шпионском» баге в решениях «Лаборатории Касперского»

20 августа 2019

Возможно, до вас доходили слухи, что «Лаборатория Касперского» шпионит за своими клиентами или помогает следить за ними другим. Ранее мы уже комментировали подобные заявления и недавно снова с ними столкнулись: на этот раз «Лаборатория Касперского» якобы подвергает своих пользователей опасности межсайтового отслеживания. Рассказываем, что случилось и как обстоят дела сейчас.

Все о том, почему

Что произошло?

Рональд Айкенберг (Ronald Eikenberg) из журнала c’t обнаружил, что домашние продукты «Лаборатории Касперского» используют уникальные идентификаторы в скриптах, когда пользователи посещают веб-сайты. По словам журналиста, теоретически с помощью этих идентификаторов можно следить за активностью пользователей в Интернете.

Проблема, получившая номер CVE-2019-8286, затронула Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 и Kaspersky Free Antivirus 2019, а также более ранние версии этих решений. Айкенберг связался с нами, и мы оперативно устранили баг. Соответствующее исправление для всех затронутых продуктов вышло еще в июне, и огромное количество пользователей уже обновили свое ПО.

В чем суть проблемы?

Практически в каждую страницу, загружаемую пользователем домашних продуктов «Лаборатории Касперского», наше решение встраивало специальный код, который среди прочего содержит 32-символьный идентификатор. До исправления бага все страницы, которые посещал конкретный пользователь, получали один и тот же идентификатор, уникальный для этого пользователя.

В теории это позволяло владельцам сайтов, на которых размещались эти веб-страницы, отслеживать, заходил ли конкретный пользователь «Лаборатории Касперского» на тот или иной сайт и сколько раз — даже если он делал это в режиме инкогнито. Для этого, правда, требовалось, чтобы сайты обменивались информацией друг с другом.

Сейчас все исправлено?

Да, 7 июня 2019 года мы выпустили специальный патч и автоматически отправили его всем пользователям затронутых продуктов. Если с момента выхода патча ваш компьютер подключался к Интернету и вы разрешали ему обновляться, будьте уверены — исправление уже установлено, и вам ничего не нужно делать.

Что изменилось? Теперь обновленные решения «Лаборатории Касперского» присваивают всем пользователям одинаковые идентификаторы, поэтому единственное, что можно из них извлечь, — это сведения об используемом продукте (Kaspersky Anti-Virus, Kaspersky Internet Security и так далее). Идентификаторы больше не уникальны для конкретных пользователей, и, следовательно, по ним нельзя отследить их действия.

Как возникла проблема?

Чтобы обнаруживать потенциально вредоносные скрипты на веб-странице до того, как она будет полностью загружена и отображена в браузере, продукты «Лаборатории Касперского» внедряют в нее специальный JavaScript-код. Этот метод не уникален для решений «Лаборатории Касперского» — по такому принципу работают многие веб-антивирусы. Наш код JavaScript включает идентификатор, который раньше был уникальным для каждого пользователя, а теперь одинаковый для всех пользователей каждого из продуктов.

Почему ничего страшного в произошедшем нет?

Порой СМИ специально раздувают проблему, чтобы привлечь к себе внимание. Именно это и произошло в этот раз. Теоретически использование уникальных идентификаторов могло иметь реальные последствия. Их три.

Первое (об этом мы писали выше): с помощью уникальных идентификаторов маркетологи могли бы собирать информацию о пользователях, посещавших сайты. Но она была бы крайне скудной. Сегодня есть более простой способ получить нужные сведения — специальные рекламные системы вроде тех, что реализованы в Facebook или Google. Они предоставляют куда больше информации, поэтому их использует большинство владельцев сайтов. А в слежке через идентификаторы защитных решений просто нет смысла.

Второе: теоретически злоумышленники могли использовать полученные сведения для создания вредоносной программы, нацеленной на клиентов «Лаборатории Касперского», и попытаться распространить ее среди них. Такой сценарий применим к любой программе, изменяющей код веб-страницы на стороне пользователя. Однако это крайне маловероятно: просто создать вредоносное ПО недостаточно — нужно еще доставить его пользователю и запустить на его устройстве. Для этого его нужно заманить на вредоносный сайт, чему будут активно препятствовать наши антифишинговый модуль и веб-антивирус.

Третье: база с данными посетителей веб-сайтов могла быть использована для фишинга. Пожалуй, это самое вероятное из всех потенциальных последствий. Однако, как и в случае с вредоносным ПО, для злоумышленника это не самый простой путь. Куда проще было бы воспользоваться сведениями, находящимися в открытом доступе по воле пользователя или в результате многочисленных утечек.

Как бы то ни было, никакой вредоносной активности, связанной с идентификаторами, обнаружено не было. Теперь же проблема решена, и преступники ничего не смогут предпринять.

Поэтому заявление о том, что наши решения позволяют шпионить за пользователями, — сильное преувеличение. Да, в продуктах был незначительный баг, и теоретически с его помощью можно было получить очень ограниченное количество информации о пользователях, но, повторимся, мы его устранили.

А что делать мне?

Если ваше защитное решение обновляется автоматически (именно такой способ обновления мы рекомендуем), установка исправления даже не потребует вашего участия.

  • Проверьте, обновлено ли ваше защитное решение. Скорее всего, это так и есть. Но если нет, мы рекомендуем это сделать. Чтобы обновить продукт, нажмите на значок в области уведомлений и выберите Обновление в главном меню. Пользователям решений версии 2020 также следует это сделать – ранние сборки для устранения проблемы нужно обновить.
  • Если вы все еще переживаете и не хотите, чтобы веб-сайты в принципе могли знать, что вы пользуетесь решениями «Лаборатории Касперского», вы можете отключить внедрение скриптов. Для этого перейдите в Настройки, затем в Параметры сети. Снимите галочку с пункта <em>Внедрять в трафик скрипт взаимодействия с веб-страницами в разделе Обработка трафика . Но учтите, что при отключении этого параметра уровень вашей защиты снизится, поэтому мы не рекомендуем это делать.