卡巴斯基病毒漏洞让用户在线跨站点跟踪

这些解决方案大多依赖于第三方cookie，即设置在你正在浏览的域之外的域上的cookie，它允许谷歌和Facebook等公司对你进行指纹识别，以便跟踪你在多个网站上的一举一动。

但是，如果您使用的是卡巴斯基防病毒软件，则安全软件中的一个漏洞会在过去4年中访问的每个网站上暴露出与您相关的唯一标识符，这可能会使这些网站和其他第三方服务能够在web上跟踪您，即使您及时阻止或删除了第三方cookie。
该漏洞被确定为CVE-2019-8286由独立安全研究人员罗纳德·艾肯伯格发现，它以一个URL扫描模块的方式存在于杀毒软件中，名为卡巴斯基网址顾问作品。

默认情况下，卡巴斯基互联网安全解决方案将远程托管的JavaScript文件直接注入到您访问的每个网页的HTML代码中；对于所有网络浏览器，即使是在匿名模式下；试图检查该页面是否属于可疑和钓鱼网站地址列表。


这并不奇怪，因为大多数互联网安全解决方案都以同样的方式监控网页中的恶意内容。

然而，Eikenberg发现，这个JavaScript文件的URL包含一个对每个卡巴斯基用户都是唯一的字符串，有点像UUID（通用唯一标识符），网站、其他第三方广告和分析服务很容易捕捉到它，从而使其用户的隐私受到威胁。

“这是一个坏主意，因为在网站域上下文中运行的其他脚本可以随时访问HTML代码—；从而访问注入的卡巴斯基ID。这意味着在简单的语言中，任何网站都可以简单地读取用户的卡巴斯基ID，并滥用它进行跟踪，”研究人员说。

“ID是持久的，几天后没有改变。这表明可以将ID永久分配给特定的计算机”。

艾肯伯格向卡巴斯基报告了他的发现，卡巴斯基承认了这个问题，并在上个月通过指定一个常量值来解决这个问题(FD126C42-EBFA-4E12-B309-BB3FDD723AC1)用于所有用户，而不是在JavaScript URL中使用UUID。
“卡巴斯基已经修复了其产品中的一个安全问题（CVE-2019-8286），该问题可能会通过使用第三方可以访问的唯一产品id危害用户隐私，”该公司在其咨询中说。

“此问题被归类为用户数据泄露。攻击者必须在web服务器上准备并部署恶意脚本，以便跟踪用户”。
然而，卡巴斯基URL顾问功能仍然可以让网站和第三方服务发现访问者的系统上是否安装了卡巴斯基软件，研究人员认为，这些软件可能会被骗子和网络罪犯间接滥用。

Eikenberg警告说：“攻击者可以使用此信息重新分发针对保护软件定制的有害程序，或将其重定向到合适的欺诈页面，其标语为：您的卡巴斯基许可证已过期。请输入您的信用卡号以续订”。

卡巴斯基防病毒、互联网安全、全面安全、免费防病毒和小型办公室安全产品的更新版本已经交付给受影响的用户。

但是，想要完全禁用此跟踪的用户可以从设置中手动禁用URL Advisor功能→额外的→网络→取消选中流量处理框，如上图所示。