Não é segredo que muitas empresas de marketing, publicidade e análise impulsionam o rastreamento de usuários pela Internet e fornecem anúncios segmentados. O pesquisador de segurança, Ronald Eikenberg, descobriu uma falha na segurança que deixou os usuários do Antivírus Kaspersky ainda mais expostos.

A vulnerabilidade, identificada como CVE-2019-8286, se trata de um identificador exclusivo associado ao usuário e a todos os websites que ele visitou nos últimos quatro anos. Essa falha permite que sites e outros serviços tenham acesso ao histórico de navegação do cliente, mesmo que ele tenha bloqueado ou apagado os cookies de terceiros.

Por padrão, o Kaspersky insere um arquivo JavaScript hospedado remotamente diretamente no código HTML de todas as páginas da Web visitadas – em todos os navegadores, mesmo no modo anônimo – para verificar se a página pertence à lista de endereços suspeitos de phishing.

A maioria dos antivírus busca por conteúdo malicioso dessa forma. No entanto, Eikenberg descobriu que a URL do JavaScript contém uma sequência de caracteres única para cada usuário do Kaspersky, uma espécie de UUID (Universally Unique Identifier) que pode ser capturada facilmente por outros sites, colocando a privacidade do cliente em risco.

Eikenberg relatou suas descobertas ao Kaspersky, que reconheceu o erro e, no último mês, substituiu o UUID na URL do JavaScript e atribuiu um número único (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) para todos os usuários.

No entanto, o recurso “Consultor de URLs” ainda permite que sites e terceiros descubram se um visitante possui o software da Kaspersky instalado. Segundo o pesquisador, essa ferramenta pode ser usada de forma indevida por cibercriminosos.

“Um invasor pode usar essas informações para redistribuir um vírus pelo software de proteção ou redirecionar o usuário a uma página escrito: Sua licença Kaspersky expirou. Por favor informe seu cartão de crédito para renová-la’”, explicou Eikenberg.

A Kaspersky, através de sua assessoria de imprensa no Brasil, divulgou um posicionamento sobre a falha relatada por Eikenberg:

A Kaspersky alterou o processo de verificação de atividades maliciosas em páginas web ao remover o uso de identificadores exclusivos para solicitações GET. Essa alteração foi feita após Ronald Eikenberg reportar que o uso destes identificadores poderiam divulgar informações pessoais do usuário.

Após uma análise interna, concluímos que a possibilidade de comprometer a privacidade do usuário é teoricamente possível, mas provavelmente não é factível devido à sua alta complexidade e baixa lucratividade para um cibercriminoso. Independentemente disso, estamos constantemente trabalhando para melhorar nossas tecnologias e produtos, o que resultou na mudança deste processo.

Agradecemos ao Ronald Eikenberg por relatar isso para nós. – Kaspersky.

Fonte: The Hacker News