卡巴斯基杀毒软件曝隐患 可追踪用户隐私

据德媒爆料，Winodws版卡巴斯基（Kaspersky）杀毒软件暗藏有可追踪用户行为的隐私漏洞。调查人员指出，卡巴斯基会赋予每一台用户电脑的一个身份ID，只要能读取Kaspersky ID的网站，就能利用该ID来追踪使用者行为，进而知道该名使用者是否曾访问过该站，无论使用的是哪款浏览器，即便启用了无痕模式，都可被追踪到。

据悉，该隐私漏洞影响卡巴斯基从2015年秋天发表的所有消费者版本的Windows杀毒软件，从免费版到Kaspersky Internet Security与Total Security，也波及Small Office Security，估计影响数百万名卡巴斯基用户。

卡巴斯基在收到调查人员的通知之后，承认此一问题的存在，但指出相关攻击太过复杂且无利可图。不过Eikenberg却认为这是个严重的漏洞，若骇客在4年前漏洞现身时，就构建一个网站来收集Kaspersky ID的话，现在则会拥有强大的监控能力。

目前卡巴斯基在调查人员的督促下，已将此漏洞分配了CVE-2019-8286的编号，并在今年7月进行了修补。

不过调查人员在卡巴斯基修补之后再度测试，发现卡巴斯基把原本每一台电脑都具备的ID改成产品ID，例如使用特定杀毒软件版本的用户，都具备同样的ID，使网站无法再辨识个别用户。但如果骇客借此判断杀毒软件版本来定制化攻击模式，同样具有威胁性，因此再度向卡巴斯基报告。而卡巴斯基尚未回复。

有鉴于此，建议使用者可在卡巴斯基杀毒软件的流量处理设定中，关闭“Inject script into web traffic to interact with web pages（将脚本插入Web流量以与网页交互）”功能，即能避免让网站访问相关ID。

调查区域：企业小调查(点击预览可查看效果)

(7246850)