Kann ein Bug in Kaspersky-Produkten zur Spionage missbraucht werden?

20 Aug 2019

Möglicherweise haben auch Sie bereits davon gehört, dass Kaspersky seine „Kunden ausspioniert“ oder „anderen Spionen unter die Arme greift“. Einen Teil dieser falschen Anschuldigungen haben wir bereits addressiert. Kürzlich ist jedoch ein neuer Fall aufgetaucht, der besagt, dass Kaspersky seine Nutzer dem sogenannten Cross-Site-Tracking ausgesetzt haben soll. Im folgenden Beitrag möchten wir genauer auf dieses Thema eingehen.

Was ist passiert?

Ronald Eikenberg, Journalist des Magazins für Computertechnik c’t magazine, berichtete vor einigen Tagen, dass die Verbraucherprodukte von Kaspersky spezifische Kennungen / Identifikatoren in Skripten verwendet haben, um Nutzer beim Besuch einer Website auf diese Weise identifizieren zu können.

Das Problem (CVE-2019-8286) betraf die Produkte Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 und Kaspersky Free Antivirus 2019 sowie frühere Versionen dieser Softwarepakete. Nach seiner Entdeckung setzte sich Eikenberg mit uns in Kontakt, woraufhin wir eine angemessene Problembehebung gewährleisteten. Der entsprechende Patch für alle betroffenen Produkte wurde im Juni 2019 veröffentlicht, und der Großteil aller Nutzer hat das Produkt bereits aktualisiert.

Das Problem

Grundsätzlich wird fast jeder Website, die von Nutzern eines Verbraucherprodukts von Kaspersky geladen werden, Code beigefügt, der unter anderem einen für den Benutzer spezifischen und einzigartigen 32-stelligen Code enthält – und eben dieser Code blieb für Nutzer auf all diesen Webseiten gleich.

Unter Umständen hätten die Inhaber der Websites, auf denen die Seiten gehostet wurden, auf diese Weise die Möglichkeit gehabt, nachzuverfolgen, welche der Seiten von einem spezifischen Nutzer unserer Produkte erstmals und möglicherweise später erneut besucht worden sind. Damit diese Art des Trackings jedoch funktioniert – auch im Inkognito-Modus -, wäre der Informationsaustausch zwischen Websites erforderlich.

Wurde das Problem behoben?

Ja! Wir haben den entsprechenden Patch für dieses Problem, der automatisch an die Nutzer aller betroffenen Produkte verteilt wurde, bereits am 7. Juni 2019 veröffentlicht. Wenn Ihr Computer also seither mit dem Internet verbunden gewesen ist und Sie die automatische Aktualisierung Ihres Kaspersky-Produkts nicht deaktiviert haben, müssen Sie nichts weiter tun.

Alle aktualisierten Kaspersky-Verbraucherprodukte weisen allen Nutzern die gleichen Identifikatoren zu, sodass lediglich die Art des verwendeten Produkts (Kaspersky Anti-Virus, Kaspersky Internet Security & Co.) preisgeben wird. Sie werden nicht personenspezifisch zugeordnet und können daher nicht zu Trackingzwecken verwendet werden.

Warum konnte das passieren?

Um potenziell schädliche Skripts auf Webseiten zu erkennen, bevor diese ausgeführt werden, injizieren Kaspersky-Produkte beim Laden der Seite einen JavaScript-Code. Diese Funktion ist aber nicht nur für Kaspersky-Produkte typisch – alle Web-Antivirenprogramme funktionieren auf dieselbe Art und Weise. Unser JavaScript-Code enthielt dabei den zuvor beschriebenen, individuellen Identifikator, der mittlerweile für jeden Benutzer gleich ist.

Keine große Sache

Um Aufmerksamkeit zu erregen, neigen die Medien oftmals dazu, aus einer Mücke einen Elefanten zu machen. Genau das ist auch in diesem Fall passiert. Theoretisch betrachtet könnte das beschriebene Problem drei reale, potenzielle Auswirkungen haben:

1: Rein theoretisch hätten Anbieter die IDs verwenden können, um spezifische Besucher ihrer Website anzuvisieren. Es ist allerdings bedeutend einfacher, auf echte Werbesysteme wie Facebook oder Google zu vertrauen, um Nutzer zu tracken, da diese Systeme dem Anbieter deutlich mehr Informationen liefern. Das tut ein Großteil aller Webseiteninhaber übrigens auch. Es gibt also keinen Grund, die IDs von Sicherheitslösungen für diesen Zweck zu verwenden

2: Cyberkriminelle hätten diese Adressen sammeln und spezfisch auf Kaspersky-Nutzer zugeschnittene Malware erstellen und verbreiten können. Dasselbe gilt übrigens für jedes Programm, das Websitecode auf der Nutzerseite ändert. Dieses Szenario ist höchst unwahrscheinlich. Ein Angreifer müsste eine solche Malware nicht nur ins Leben rufen, sondern darüber hinaus übermitteln und ausführen. Dazu müsste der Nutzer zunächst auf eine schädliche Website gelockt werden, von denen er – dank der Antiphishing- und Web-Antivirus-Komponenten unserer Produkte -ferngehalten wird.

3: Eine Datenbank mit Website-Besuchern hätte für Phishing verwendet werden können. Auch wenn es sich hierbei tatsächlich um das logischste mögliche Szenario handelt, wäre der Gebrauch öffentlich zugänglicher Informationen oder das Ausnutzen kürzlich aufgetretener Lecks für Cyberkriminelle um einiges einfacher.

In jedem Fall konnten keinerlei böswillige Aktivitäten beobachtet werden, bei der diese einzigartigen IDs missbraucht worden sind.

Also, ja: Das Statement „Kaspersky-Produkte ermöglichen Spionage“ ist vollkommen überspitzt. Es hat einen mittlerweile bereits gefixten Bug gegeben, der – in sehr begrenztem Umfang – das sehr unwahrscheinliche Tracking durch Dritte hätte ermöglichen können.

Was sollte man jetzt tun?

Das Problem kann ganz einfach durch die automatische und selbstständige Aktualisierung Ihrer Sicherheitslösung behoben werden.

  • Prüfen Sie, ob Ihre Kaspersky-Sicherheitslösung aktualisiert wurde. Sollte dies der sehr unwahrscheinliche Fall sein, empfehlen wir Ihnen, die Lösung für einen optimalen Schutz zu aktualisieren. Klicken Sie dazu auf das entsprechende Symbol in der Taskleiste und wählen Sie im Menü die Option Aktualisieren. Benutzer von 2020-Kaspersky-Produkten sollten dies ebenfalls tun. Frühere Versionen müssen gepatcht werden, um das Problem zu beheben.
  • Wer sich weiterhin Sorgen macht, kann die Script Injection deaktivieren. Gehen Sie dazu zu Einstellungen -> Netzwerkeinstellungen und deaktivieren Sie das Kontrollkästchen Für die Interaktion mit Webseiten in den Datenverkehr einbinden unter der Schaltfläche Verarbeitung des Datenverkehrs. Beachten Sie jedoch, dass dies Ihr Schutzniveau verringert und wir aufgrunddessen von dieser Maßnahme abraten.