卡巴斯基脚本注入导致隐私泄露

B100D1E55

因为刚才路过一个资讯站发现了这篇文章：

https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html


大意是卡巴斯基貌似在网络保护选项里有一个将脚本注入网络通讯的功能，结果居然把每个用户的UUID也注入进去了。也就是说如果访问的网站别有用心完全可以通过获取网页内卡巴脚本的UUID信息跟踪到每一个卡巴用户。七月advisory修了这个问题：https://support.kaspersky.com/general/vulnerability.aspx?el=12430#110719

但是就算是补丁后的程序，如果这个功能打开仍旧会注入一个脚本。也就是说网站只要想的话完全可以知道访问者是不是装了卡巴，随即可以针对这个信息定向投放恶意程序（比如为卡巴用户投放特制版）。虽然遇上这种破事的概率不大，但是觉得不放心的话还是关了这个功能为妙

New_Start.

amazing！

huang1111

hello

注入脚本目的是确保安全数据输入，安全支付，无痕浏览，网址顾问，反广告和上网管理组件的正常运行，如果关闭的话，感觉有点得不偿失，况且完全针对卡巴，这种毒也没多大价值。。。

kfne12

我不太懂网页脚本

但是我印象里

网站判断机子里有没有某个文件时早就可以的吧。我记不大清了。

我印象里，有一种网站脚本，直接判断机子里有没有某个文件从而装没装某个软件。这好像不是什么秘密？

如果可以的话，那这个跟卡巴没什么关系了。

B100D1E55

kfne12 发表于 2019-8-16 10:17
我不太懂网页脚本

但是我印象里

我觉得不可能，当代浏览器都沙箱化了，脚本肯定没法直接访问本地文件系统。如果可以的话很多OEM升级检测就不需要调用浏览器外的组件来通讯（早年一般还用什么java applet或者activeX）

至于有没有其他刁钻猥琐的侧信道就不得而知了

我是风我是风

感觉专门针对卡巴没什么意义

kfne12

B100D1E55 发表于 2019-8-16 10:25
我觉得不可能，当代浏览器都沙箱化了，脚本肯定没法直接访问本地文件系统。如果可以的话很多OEM升级检测 ...

读取和运行本地文件应该是不可以的。

但是判断某个本地文件是不是存在电脑上应该是可以的。

我在哪见到过，当时还收藏了，可惜现在找不到了。
当然不排除，现在这个“feature”被IE修复了。

ELOHIM

B神，我在资讯区发了贴，你帮看一下 是不是和你这个一个内容？？

KK院长

ELOHIM 发表于 2019-8-16 13:30
B神，我在资讯区发了贴，你帮看一下 是不是和你这个一个内容？？

该漏洞被识别为CVE-2019-8286  恩,是同一内容,  我已经帮你转发出来了..

B100D1E55

kfne12 发表于 2019-8-16 10:56
读取和运行本地文件应该是不可以的。

但是判断某个本地文件是不是存在电脑上应该是可以的。

好奇是怎么做的。如果找到了请务必告诉我！