Potreste aver sentito che Kaspersky spia i suoi clienti o aiuta altri a spiarli. Alcune di queste accuse le abbiamo già affrontate, ma recentemente è emerso un nuovo caso, secondo il quale Kaspersky avrebbe esposto gli utenti al tracking cross-site. In questo breve post analizziamo la situazione.
Che cosa è successo?
Un giornalista di nome Ronald Eikenberg dalla rivista c’t ha riferito che i prodotti Kaspersky hanno usato identificatori unici negli script quando gli utenti visitavano i siti web, e che essi potevano essere potenzialmente utilizzati per identificare gli utenti.
Il problema (chiamato CVE-2019-8286) ha interessato Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 e Kaspersky Free Antivirus 2019, così come versioni precedenti di questi pacchetti software. Eikenberg ci ha contattati e ci siamo assicurati di risolvere il problema. La patch corrispondente per tutti i prodotti interessati è stata rilasciata a giugno e moltissimi utenti hanno già aggiornato il prodotto.
Qual era il problema?
In sostanza, quasi ogni pagina caricata da un utente privato dei prodotti Kaspersky è collegata a un codice, che, tra le altre cose, contiene un codice unico di 32 caratteri per ogni utente, e il codice rimaneva lo stesso per quel singolo utente in tutte le pagine Web.
Ciò potrebbe potenzialmente consentire ai proprietari dei siti che ospitano queste pagine di rintracciare se un utente di Kaspersky ha visitato uno dei loro siti, e se li hanno rivisitati in seguito. Per far sì che il tracking funzioni, e funzionerebbe anche nella modalità in incognito, sarebbe necessario uno scambio di informazioni tra i siti.
Questo problema adesso è stato risolto?
Sì, abbiamo rilasciato una patch il 7 giugno 2019 per risolvere questo problema. È stata inviata automaticamente agli utenti di tutti i prodotti interessati, quindi non c’è bisogno di fare nulla per renderla effettiva, è già lì se il computer è collegato a Internet da allora e se avete consentito al prodotto di aggiornarsi.
Tutti i prodotti Kaspersky aggiornati danno a tutti gli utenti la stessa serie di identificatori, quindi tutto ciò che rivelano è il tipo di prodotto utilizzato (sia esso Kaspersky Antivirus, Kaspersky Internet Security, o qualsiasi altro). Non sono unici per una singola persona, quindi non possono essere utilizzati per il tracking.
Perché è successo?
Per rilevare script potenzialmente dannosi nelle pagine web prima che inizino a funzionare, i prodotti Kaspersky inseriscono un codice JavaScript nella pagina durante il caricamento. Questa non è solo una caratteristica dei prodotti Kaspersky, gli antivirus web funzionano così; e il nostro codice JavaScript includeva quell’identificatore, che precedentemente era personale ma che invece adesso è lo stesso per ogni utente.
Perché non è niente di grave?
A volte i media amplificano i problemi per attirare l’attenzione. Ed è proprio ciò che è successo in questo caso. Teoricamente questo problema ha delle possibili implicazioni reali. Eccone tre.
La prima è ciò che abbiamo descritto sopra: chi si occupa di marketing avrebbe potuto teoricamente usare quegli ID per rivolgersi alle persone che visitano i loro siti web. Detto questo, ogni profilo che avrebbero potuto costruire sarebbe stato molto povero. È molto più facile affidarsi a veri sistemi pubblicitari come Facebook o Google per monitorare gli utenti, e questi sistemi forniscono loro maggiori informazioni sull’utente. Ed è quello che fanno molti proprietari di siti web. Quindi non c’è motivo di usare profili provenienti da sistemi di sicurezza per quello scopo.
La seconda è che un malintenzionato avrebbe potuto prendere quegli indirizzi e creare un malware che prendesse di mira solo gli utenti dei prodotti Kaspersky, diffondendolo tra di loro. Lo stesso vale per ogni programma che cambia il codice della pagina web dalla parte dell’utente. Ciò è altamente improbabile; un cybercriminale avrebbe bisogno non solo di creare tale malware, ma anche di inviarlo ed eseguirlo. Per fare ciò ci sarebbe bisogno di attirare l’utente su un sito web dannoso, ma il nostro sistema antiphishing e antivirus web tiene gli utenti lontano da siti dannosi.
La terza: un database di visitatori del sito web potrebbe essere stato utilizzato per il phishing. Questa è l’insinuazione più ragionevole. Ancora una volta, tuttavia, sarebbe una pessima scelta per un cybercriminale. Utilizzare informazioni accessibili al pubblico o recenti fughe di notizie sarebbe molto più semplice.
In ogni caso, nessuno ha osservato alcuna attività sospetta di uso inappropriato di questi identificatori unici, e ora che il problema è stato risolto, i malfattori non potrebbero più approfittarne.
Quindi sì,” Kaspersky consente di spiare gli utenti” è una dichiarazione esagerata. C’era un bug che avrebbe potuto permettere un tracking molto improbabile da parte di terzi in misura molto limitata, ma adesso è stato corretto.
Cosa fare?
Applicare la correzione è facile come lasciare che la vostra soluzione di sicurezza si aggiorni automaticamente, cosa che naturalmente consigliamo.
- Controllate se la soluzione di sicurezza Kaspersky è aggiornata. Probabilmente lo è, ma in caso contrario, vi consigliamo di aggiornarla in modo che possa proteggervi al meglio. Per aggiornare il prodotto, fate clic sulla sua icona dal system tray e selezionate Aggiorna dal menu. Anche gli utenti dei prodotti Kaspersky 2020 dovrebbero farlo, le prime versioni hanno bisogno della patch per risolvere il problema;
- Nel caso in cui vi preoccupi che i siti web sappiano che state utilizzando i prodotti Kaspersky, disattivate l’iniezione dello Per fare ciò, andate su Impostazioni, poi Impostazioni di rete. Deselezionate l’opzione Inocula script nel traffico Web per interagire con il traffico Web presente in Elaborazione del traffico.
Ricordate però che questo diminuirebbe il vostro livello di protezione, e quindi non lo consigliamo.