Kaspersky dicht kwetsbaarheid in antivirussoftware -UPDATE

Kaspersky heeft afgelopen maand een kwetsbaarheid gedicht in de antivirusproducten Kaspersky Antivirus, Internet Security, Total Security, Free Antivirus en Small Office Security. De software bleek een voor elke gebruiker unieke cijfercode bloot te geven waarmee de browsergeschiedenis van gebruikers nagegaan kon worden.

De kwetsbaarheid is ontdekt en gemeld door de beveiligingsonderzoeker Ronald Eikenberg, schrijft The Hackernews.

De kwetsbaarheid zat in het onderdeel URL Advisor. Deze functie houdt de adressen bij van elke website die de gebruiker bezoekt bij, ongeacht welke browser en of de gebruiker de incognito-modus aan heeft staan of niet. Dit gebeurt om te kunnen controleren of de bezochte websites voorkomen op de lijst met verdachte sites en phishingsites die Kaspersky bijhoudt. Dit blijkt door meerdere antivirusfabrikanten zo te worden gedaan.

Hiervoor gebruikt Kaspersky een Javascript-bestand met daarin een gebruikerscode die voor elke gebruiker uniek is, een UUID (Universally Unique Identifier) dus. Dat unieke nummer bleek echter door externe partijen gelezen te kunnen worden waarmee ook iemands persoonlijke browsergeschiedenis uitgelezen kon worden.

Reactie Kaspersky

Kaspersky laat in een reactie weten dat het bedrijf blij is met de bevindingen van de beveiligingsonderzoeker. “Kaspersky heeft het proces van het controleren van kwaadaardige activiteiten op webpagina’s gewijzigd door het gebruik van unieke identifiers voor GET-verzoeken te verwijderen. Deze wijziging is doorgevoerd nadat Ronald Eikenberg ons heeft gemeld dat het gebruik van unieke identifiers mogelijk kan leiden tot het vrijgeven van persoonlijke informatie van gebruikers.”

Kaspersky heeft het unieke nummer inmiddels vervangen door een generiek nummer die voor elke Kaspersky-gebruiker gelijk is (FD126C42-EBFA-4E12-B309-BB3FDD723AC1).

“Na ons intern onderzoek zijn we tot de conclusie gekomen dat dergelijke scenario’s met betrekking tot privacyschending van gebruikers theoretisch mogelijk zijn, maar in de praktijk onwaarschijnlijk zijn. Dit vanwege de complexiteit en lage winstgevendheid voor cybercriminelen. Desalniettemin werken we voortdurend aan het verbeteren van onze technologieën en producten, wat leidt tot een verandering in dit proces. Op dit moment kunnen we zeggen dat Kaspersky’s B2B-producten niet zijn aangetast”, aldus Martijn van Lom, General Manager Noord-Europa bij Kaspersky.

UPDATE vrijdag 21:30 uur: Bericht aangepast en aangevuld met officiële reactie van Kaspersky.