O Kaspersky AV injetou um ID exclusivo que permitia que os sites rastreassem usuários, mesmo no modo de navegação anônima

21

O software antivírus é algo que pode ajudar as pessoas a serem mais seguras e privadas na Internet. Mas suas proteções podem cortar os dois lados. Um exemplo: durante quase quatro anos, os produtos antivírus da Kaspersky Lab injetaram um identificador exclusivo no HTML de todos os sites visitados por um usuário, possibilitando que os sites identificassem pessoas mesmo quando usavam o modo de navegação anônima ou quando alternavam entre o Chrome, o Firefox ou Edge.

O identificador, como relatado quinta-feira pela revista c't, fazia parte de um blob de produtos JavaScript da Kaspersky injetados em todas as páginas visitadas por um usuário. O JavaScript, apresentado abaixo deste parágrafo, foi projetado para, entre outras coisas, apresentar um ícone verde que correspondia a links seguros retornados nos resultados da pesquisa.

O repórter Ronald Eikenberg encontrou algo desconcertante sobre o JavaScript injetado pelo produto antivírus Kaspersky instalado em seu computador de teste – a tag 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615 era exclusiva de sua máquina e foi injetada em todas as páginas que ele visitou. Não importava se ele usava Chrome, Firefox, Edge ou Opera ou se ele ativava a navegação anônima. O identificador agia como um número de série exclusivo que os operadores do site poderiam usar para rastreá-lo.

A Kaspersky parou de enviar o identificador em junho, depois que Eikenberg reportou em particular o comportamento da empresa de antivírus. O identificador foi introduzido no outono de 2015 (para aqueles no Hemisfério Norte). Isso significa que, por quase quatro anos, todas as versões do consumidor do software Kaspersky para Windows – incluindo a versão gratuita, Kaspersky Internet Security e Kaspersky Total Segurança – usuários silenciosamente marcados com um identificador exclusivo.

Eikenberg escreveu:

Em outras palavras, qualquer site pode ler o ID do Kaspersky do usuário e usá-lo para rastreamento. Se o mesmo Identificador Universalmente Único retornar ou aparecer em outro site da mesma operadora, eles poderão ver que o mesmo computador está sendo usado. Se essa suposição estiver correta, o Kaspersky criou um mecanismo de rastreamento perigoso que faz com que o rastreamento de cookies pareça antigo. Nesse caso, os sites podem rastrear usuários do Kaspersky, mesmo se eles mudarem para um navegador diferente. Pior ainda, o super rastreamento pode até mesmo superar o modo de navegação anônima do navegador.

O comportamento parou em uma nova versão do Kaspersky Lab lançado em junho, e a empresa emitiu um aviso sobre a ameaça um mês depois. O problema de segurança é rastreado como CVE-2019-8286.

Antes que os leitores se envolvam em muita espuma, vamos rever algumas coisas. Mesmo sem um número de rastreamento exclusivo, há muitas maneiras de os sites identificarem seus visitantes de maneira exclusiva. Endereços IP e cookies são as formas mais óbvias, mas muitas vezes a combinação específica de fontes, extensões e configurações instaladas é tudo o que é necessário para identificar um usuário específico, em alguns casos mesmo quando alguém usa vários navegadores.

Além disso, Eikenberg disse a Ars que ele testou produtos Kaspersky mais antigos com o navegador Tor e não encontrou evidências de que o identificador foi injetado. O resultado de tudo isso: adicionar um identificador único a um recurso de segurança parece desnecessário e menos do que ideal para privacidade, mas não é algo para se fazer um caso federal. Por último, não seria surpreendente se outros produtos antivírus fizessem ou tivessem feito coisas semelhantes no passado.

Em uma declaração, os funcionários da Kaspersky escreveram:

A Kaspersky alterou o processo de verificação de páginas da Web em busca de atividades maliciosas, removendo o uso de identificadores exclusivos para as solicitações GET. Essa mudança foi feita depois que Ronald Eikenberg nos informou que o uso de identificadores exclusivos para as solicitações GET pode potencialmente levar à divulgação de informações pessoais de um usuário.

Após nossa pesquisa interna, concluímos que tais cenários de comprometimento da privacidade do usuário são teoricamente possíveis, mas provavelmente não serão realizados na prática, devido à sua complexidade e baixa lucratividade para os cibercriminosos. No entanto, estamos constantemente trabalhando para melhorar nossas tecnologias e produtos, resultando em uma mudança neste processo.

Gostaríamos de agradecer a Ronald Eikenberg por relatar isso para nós.

Os funcionários da Kaspersky Lab também confirmaram que os produtos AV da empresa não interagem com o tráfego TOR.

O ponto principal de tudo isso é que, conforme observado anteriormente, a proteção antivírus – seja da Kaspersky ou de qualquer outra pessoa – pode ter dois gumes. Sim, pode salvar alguém que clica de forma imprudente em links ou anexos, mas também pode aumentar a superfície de ataque ou adicionar comportamentos que muitos especialistas em segurança alegam serem inseguros. (Completamente não mencionado no artigo do c't é a instalação de um certificado digital auto-assinado que muitos produtos AV usam para inspecionar o tráfego protegido por HTTPS. Isso está errado com muitas pessoas que dizem que nenhum aplicativo deve adulterar o tráfego TLS.)

Decidir se usar o AV dependerá do usuário e do tipo de máquina. Para um dissidente ou contratado do governo visado por hackers patrocinados pelo Estado – especialmente quando o alvo está usando uma máquina Mac ou Linux – a AV provavelmente oferece mais riscos do que benefícios, já que o identificador único que a Kaspersky Lab estava adicionando está dentro do escopo das coisas. ser explorado.

Um usuário menos experiente que navega em sites pornográficos em uma máquina Windows, por outro lado, provavelmente estaria melhor usando o antivírus, já que, como observa a declaração da Kaspersky, o identificador não é algo que os hackers em busca de lucro possam atingir. Uma coisa é certa: seja qual for a sua decisão, haverá alguém no Twitter para lhe dizer que está errado e que a sua escolha é imprudente.

Fonte: Ars Technica