‘Antivirussoftware Kaspersky liet websites jarenlang gebruikers volgen’

De antivirussoftware van Kaspersky maakte het jarenlang voor websites mogelijk om gebruikers te volgen. De software injecteerde JavaScript-code op iedere website in iedere browser op een testlaptop.

Dat ontdekte de Duitse journalist Ronald Eikenberg van c’t. De JavaScript bevatte bovendien een ID-nummer dat op iedere pagina die op een machine gerenderd werd, gerepliceerd werd. Op andere PC’s veranderde het ID-nummer.

Het ID-nummer werd altijd gerepliceerd, zelfs als de incognito-modus gebruikt werd of als cookies verwijderd werden. Dat ID-nummer is uit te lezen door andere scripts die in de context van de website draaien. Daardoor kan iedere website het ID-nummer lezen en het gebruiken om iemand te volgen.

Reactie Kaspersky

Eikenberg heeft zijn bevindingen bij Kaspersky gemeld. Het bedrijf reageerde volgens hem snel en zei het probleem te onderzoeken. Twee weken later was dat onderzoek klaar en bleek dat het probleem alle consumentenversies van Kaspersky-software voor Windows trof. Daarnaast zat het probleem in Small Office Security.

Het lek verscheen in de 2016-edities van de software, die in de herfst van 2015 op de markt kwamen. In juni verscheen een beveiligingspatch voor het probleem voor alle getroffen software. Ook publiceerde Kaspersky een security advisory om gebruikers op de hoogte te stellen van het probleem.

Probleem niet helemaal opgelost

Eikenberg installeerde de patch op zijn testcomputer en ontdekte dat het probleem niet helemaal opgelost was. De software stopt nog steeds een script met een ID-nummer in webpagina’s, maar het ID-nummer is nu identiek voor alle gebruikers van een specifieke editie van Kaspersky.

Een website kan individuele gebruikers dus niet meer volgen, maar wel zien of iemand Kaspersky-software heeft geïnstalleerd en hoe oud de software is.

Volgens de journalist is dat waardevolle informatie voor een aanvaller, omdat het gebruikt kan worden om malware te verspreiden die afgestemd is op de specifieke software. Ook kan de browser omgeleid worden naar een bijpassende scam-pagina.

Functie uitzetten

Het is mogelijk om de functie volledig uit te zetten in de software van Kaspersky. Dit kan door op het tandwiel te klikken linksonder het algemene scherm. De functie is te vinden in Additional/Network, in de vorm van een checkbox met de tekst “Inject script into web traffic to interact with web pages” onder “Traffic Processing”.