你可能有听说过卡巴斯基会监视其用户,或帮助第三方监视用户的传闻。我们很久以前就澄清过类似的指控,但近期又有新的说法出现,提出卡巴斯基将用户暴露在被跨站点追踪的威胁之中。我们将通过这篇短文回应这种言论。
发生了什么事?
C’t 杂志记者 Ronald Eikenberg报道了卡巴斯基杀毒软件在访问网站后会留下脚本中存在唯一的ID,这一ID可能会被用于识别用户。
该问题的编号为CVE-2019-8286,受它影响的产品包括2019版卡巴斯基安全软件、2019版卡巴斯基全方位安全软件、2019版卡巴斯基反病毒软件、卡巴斯基Small Office Security 6 、2019版卡巴斯基免费反病毒软件以及以上软件的更早版本。在Eikenberg联系我们之后,我们马上修复了该问题。所有受影响的产品相应补丁包都已经在六月放出,大量用户已经完成升级。
到底是什么出了问题?
简单来说,使用卡巴斯基软件的用户在访问网页时都会注入一段代码,代码中包含了一个32位通用唯一标识符,同一用户访问的任何网页所检测到的标识符都是相同的。
这就意味着网站所有者能够追踪卡巴斯基软件用户,并查看他们在自己站点上的浏览历史。虽然说即便用户使用隐身模式,网站也能进行追踪,但不同的网站之间必须互相交换信息才能达成更进一步的追踪。
现在是否已经修复这一问题?
我们在2019年6月7日放出补丁修复了该问题。用户只需要将电脑连接到网络并允许软件升级,无需更多操作,所有受该问题影响的软件都将自动升级完成修复。
在升级后,所有卡巴斯基软件的用户将共用同一套ID,能从中获取的唯一信息即是用户所使用的软件类型(可能是卡巴斯基反病毒软件、卡巴斯基安全软件等等)。由于同一ID被所有人通用,因此它不能被作为追踪代码使用。
为什么会发生这一问题?
为了确保能够在网页上可能存在的恶意代码开始运行前就检测到它们,卡巴斯基软件在网页加载过程中会注入一段JavaScript代码。这不是卡巴斯基软件独有的特性,而是网络反病毒软件的普遍运作方式。我们已经将JavaScript代码中包含的唯一ID已经更改为所有用户共用的统一ID。
为什么这不是个大问题?
媒体有的时候会通过夸张的手法来吸引公众注意力,这就是我们现在所面临的情况。从理论上来说,这个问题的确是会造成潜在影响的,我们举以下三种情况为例
第一种就是我们之前提到的,理论上来说,市场营销人员可以使用这些ID来追踪访问网站的目标人群。但基于这一方式所能建立的用户画像是非常单一薄弱的,还不如通过脸书或谷歌这些真正的广告系统来追踪用户,它们反而能向市场营销人员提供更多用户信息。实际上,大部分网站也的确这么做了。所以出于市场营销的目的,这些ID没有什么利用价值。
第二种可能的情况是,已经有犯罪分子收集这些地址并创造传播了仅针对卡巴斯基软件用户的恶意软件。任何通过用户端更改网页代码的程序,都存在被这样利用的风险。但这种情况几乎不可能发生,因为入侵者不仅需要创造恶意软件,还需要找到合适的方式分发并运行它。他们必须要引诱用户访问恶意网站才能做到这一切,但我们的反网络钓鱼和网络反病毒功能会保护用户远离恶意网站。
第三种可能:通过ID获取的网站访问者数据库可能会被用于网络钓鱼。这可能是最合理的一种利用方式了,但对于犯罪分子来说,这依旧不是什么好选项。使用公开信息或近期泄漏的数据比这个方法简单多了。
无论在什么情况下,都没有监测到滥用这些唯一ID的任何恶意活动。而如今这一问题已经被修复,对犯罪分子来说,他们已经错过利用唯一ID来开展恶意活动的末班车了。
所以说,”卡巴斯基允许第三方监视”是一个被过度消费的标题。尽管通过该漏洞所能获取的信息十分有限,也不太可能有第三方真的利用它来追踪用户,我们必须要承认在软件中是存在过这样一个漏洞的,但它已经被修复了。
用户该怎么应对?
和我们一直以来的建议一样,只要让您的安全解决方案自行升级即可修复这一漏洞。
- 请检查您的卡巴斯基安全解决方案是否已经升级。一般情况下,它都应该自动升级到最新版本。但若是还未升级,我们建议您手动更新以获得最佳的安全保护效果。请在系统盘点击图标并选择更新来完成升级。2020版卡巴斯基软件的用户也请更新到最新版本,更早期版本的软件需要使用补丁包来修复这一问题。
- 如果你仍然担心网站会发现你在使用卡巴斯基软件,请到设置–网络设置–流量处理选项卡下关闭注入脚本选项。这么做将降低你的安全等级,我们不建议用户这样操作。