Sono stati pubblicati quest’oggi i dettagli su una lacuna che affliggeva tutte le versioni dei software per la sicurezza Kaspersky dalla release 2015 fino all’attuale 2019.
Un ricercatore ha infatti scoperto che i prodotti Kaspersky iniettano uno script all’interno di ogni pagina web: tale elemento viene attivamente utilizzato dai componenti di ciascuna suite antimalware per fornire servizi addizionali come il sistema di inserimento automatico delle credenziali di accesso nei form di login, la protezione dei dati di pagamento, il parental control e la modalità di navigazione in incognito.
La chiamata allo script JavaScript inserita dinamicamente dalle soluzioni Kaspersky nel codice delle pagine web, però, integrava un codice alfanumerico univoco (ID) che poteva essere sfruttato da terze parti per individuare uno stesso dispositivo usato per visitare a più riprese lo stesso sito.
Eventuale codice JavaScript sviluppato “ad hoc” e presente nella pagina web, poteva andare alla ricerca del riferimento inserito da Kaspersky e identificare univocamente gli utenti.
La società russa ha immediatamente confermato l’esistenza del problema e a luglio scorso ha rilasciato un aggiornamento correttivo.
Oggi si fa presente che tale update non rimuove del tutto l’uso dell’identificativo: dopo l’installazione dell’aggiornamento ogni edizione di ciascun prodotto Kaspersky usa un ID a sé. L’identificativo non è quindi più unico per ciascun utente/device ma alcuni ID sono condivisi tra ampi gruppi di utenti.
Allo stato attuale, quindi, i siti web non possono identificare più univocamente un utente ma possono comunque raccogliere qualche informazione utile come l’eventuale presenza di software Kaspersky sul sistema client e la specifica versione installata (qui l’analisi integrale di Ronald Eikenberg).
Fortunatamente Kaspersky offre la soluzione per prevenire completamente l’iniezione del suo script nelle pagine web: basta accedere alle impostazioni del software in uso, fare clic su Additional, Network e disattivare Inject scripts into web traffic to interact with web pages. Va detto però che alcuni componenti addizionali (ad esempio quelli citati in apertura non potranno più funzionare).