É verdade que uma falha permite espionar usuários da Kaspersky?

19 ago 2019

Você pode ter ouvido falar que a Kaspersky espiona seus clientes ou ajuda outros a espioná-los. Algumas dessas alegações já foram abordadas, mas recentemente um novo caso surgiu, dizendo que expusemos a navegação dos usuários. Veja o que de fato aconteceu.

O que aconteceu?

Um jornalista chamado Ronald Eikenberg reportou que os produtos de consumo do Kaspersky usavam identificadores exclusivos em scripts quando os usuários visitavam sites e que estes poderiam ter sido usados ​​para identificar os usuários.

O problema (CVE-2019-8286) afetou o Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 e o ​​Kaspersky Free Antivirus 2019, bem como suas versões anteriores. Eikenberg entrou em contato conosco e corrigimos o problema. O patch foi lançado em junho e um grande número de usuários já atualizou o produto.

Qual era o problema?

Basicamente, quase todas as páginas visitadas por um usuário Kaspersky são injetadas com um código, que, entre outras coisas, contém um conjunto de 32 caracteres exclusivo para o usuário. Esse código permanece o mesmo para aquele usuário em todas as páginas da Web .

Isso poderia permitir que proprietários dos sites que hospedam essas páginas controlassem se um usuário específico de produtos Kaspersky visitasse um ou outro de seus sites e, talvez, os revisitasse posteriormente. Para tal rastreamento funcionar, no entanto, exigiria uma troca de informações entre sites.

Está consertado agora?

Sim, lançamos um patch em 7 de junho de 2019, enviado automaticamente para os usuários de todos os produtos afetados. Portanto, não é necessário fazer nada para aplicar a correção. Basta permitir que o produto seja atualizado.

Os produtos de consumo atualizados da Kaspersky geram aos usuários o mesmo conjunto de identificadores. Assim a única informação é o produto usado (Kaspersky Anti-Virus, Internet Security ou outro). O identificar não é exclusivo e, portanto, não pode ser usado ​​para rastreamento.

Por que isso estava acontecendo?

Para detectar scripts potencialmente mal-intencionados em páginas da Web antes de começarem a ser executados, os produtos da Kaspersky injetam um código JavaScript durante o carregamento. Esse recurso não é exclusivo dos produtos Kaspersky; é como os antivírus Web funcionam. Nosso código JavaScript incluiu esse identificador, anteriormente exclusivo, mas agora alterado para ser o mesmo para todos os usuários.

Por que não era um grande problema então?

Às vezes, os meios amplificam os problemas para atrair a atenção. Foi o que aconteceu neste caso. Teoricamente, esse problema tem implicações potenciais reais. Aqui estão três deles.

O primeiro é o que descrevemos acima: os profissionais de marketing poderiam teoricamente usar esses IDs para segmentar pessoas que visitam seus websites. Dito isso, qualquer perfil que pudessem construir teria sido muito pequeno. É significativamente mais fácil confiar em sistemas de publicidade reais, como os do Facebook ou do Google, para rastrear usuários. Esses sistemas fornecem mais  informações sobre o usuário para o profissional de marketing. E é isso que a maioria dos proprietários de sites faz. Portanto, não há razão para usar esses IDs de soluções de segurança para esse propósito.

A segunda é que um malfeitor poderia ter colhido esses endereços e criado malwares que visam apenas usuários de produtos Kaspersky – e espalhá-los entre eles. O mesmo vale para todos os programas que alteram o código da página da Web no lado do usuário. Esse cenário é altamente improvável; um invasor precisaria não apenas criar esse malware, mas também entregá-lo e executá-lo. Isso exigiria atrair o usuário para um site malicioso, mas nosso antiphishing e antivírus da Web mantêm os usuários longe de sites mal-intencionados.

O terceiro: um banco de dados de visitantes do site poderia ter sido usado para phishing. Essa é a implicação mais razoável. Mais uma vez, no entanto, seria uma má escolha para um malfeitor. Usar informações disponíveis publicamente ou vazamentos recentes seria muito mais fácil.

Em qualquer caso, ninguém observou qualquer atividade maliciosa que abusasse desses IDs exclusivos. E agora que o problema está resolvido, é tarde demais para os malfeitores pularem naquele trem.

Então, sim, “Kaspersky permite espionagem” é sensacionalismo. Houve um bug que poderia ter permitido um rastreamento muito improvável de terceiros de forma muito limitada, mas agora está corrigido.

O que devo fazer?

Aplicar a correção é tão fácil quanto permitir que sua solução de segurança seja atualizada.

  • Verifique se sua solução de segurança Kaspersky está atualizada. Provavelmente sim, mas caso não, recomendamos que atualize. Para isso, clique em seu ícone na bandeja do sistema e selecione Atualizar no menu. Usuários dos produtos Kaspersky 2020 também devem fazê-lo; versões antigas precisam de correção para corrigir o problema.
  • Caso ainda esteja preocupado com o fato de sites saberem que você usa uma solução Kaspersky, desative a injeção de script. Para isso, vá para Configurações e depois Configurações de Rede. Desmarque a opção Injetar script no tráfego Web para interagir com páginas Web em Processamento de tráfego. Tenha em mente, no entanto, que isso diminui seu nível de proteção.