ACTUALIZADO con comentario de Kaspersky.

El software antivirus de Kaspersky permite que los sitios web rastreen a los usuarios durante años, reveló hoy un periodista alemán (Ago. 15).

Ronald Eikenberg de c't revista detallada cómo el software de Kaspersky instalado en una computadora portátil de prueba inyectó código JavaScript en cada página web renderizada en cada navegador en una computadora portátil de prueba.

Peor aún, el JavaScript de Kaspersky contenía un número de identificación que se replicaba en cada página renderizada en una sola máquina. El número de identificación se cambió en otras PC.

"Esa es una idea muy mala", escribió Eikenberg en la versión en inglés de su artículo (también disponible en alemán). "Otros scripts que se ejecutan en el contexto del dominio del sitio web pueden acceder a la fuente HTML completa en cualquier momento, lo que significa que pueden leer la identificación de Kaspersky. En otras palabras, cualquier sitio web puede leer la identificación de Kaspersky del usuario y utilizarla para realizar un seguimiento ".

Puede deshabilitar la inyección de Kaspersky ID por completo yendo a la configuración de su software Kaspersky, luego Adicional / Red, luego ubicar Procesamiento de tráfico y desmarcar "Inyectar script en el tráfico web para interactuar páginas web."

MÁS: Mejor antivirus

Eikenberg creó un sitio web que leería la identificación de Kaspersky de los equipos visitantes y se la mostraría, y pidió a sus colegas c't que navegaran hasta su sitio.

"A partir de ese momento, mi página de prueba los saludaba personalmente cada vez que abrían el sitio, sin importar qué navegador usaban o con qué frecuencia eliminaban las cookies", escribió. "Incluso el modo de incógnito no ofrecía ninguna protección contra mi seguimiento infundido por Kaspersky. En este punto, estaba claro que se trataba de un problema de seguridad grave ".

El software antivirus a menudo analiza las páginas web contra descargas no autorizadas y otros ataques basados ​​en la web, pero, como señaló Eikenberg, inyectar JavaScript en todas las páginas web puede ir demasiado lejos. (Sin embargo, otras marcas inyectan código en las páginas de resultados de búsqueda para agregar marcas de verificación verdes u otros símbolos para indicar qué enlaces web son seguros).

Oops, nuestra culpa

Eikenberg notificó a Kaspersky del problema y, después de un par de semanas, la compañía confirmó que el problema existía en todas las versiones del software antivirus de Kaspersky, desde Kaspersky Free Anti-Virus a Kaspersky Total Security, que se remonta al otoño de 2015.

"Varios millones de usuarios deben haber estado expuestos" en general, razonó Eikenberg.

La compañía minimizó el peligro de la identificación de seguimiento, pero no obstante lo arregló en junio con un parche de seguridad para todo el software Kaspersky afectado y publicó un aviso de seguridad alertando a los usuarios sobre la falla.

A petición suya, dijo Eikenberg, la compañía también registró el error con el sistema de seguimiento de errores Common Vulnerabilities and Exposures (CVE) administrado por MITRE Corporation en las afueras de Boston, por lo que ahora lo ha hecho. su propio número CVE.

Mala óptica

Kasperky ha sido visto con extrema sospecha por las agencias gubernamentales de EE. UU. Que temen que su software antivirus pueda usarse para espionaje o sabotaje por parte del gobierno ruso. Los productos de la compañía han sido prohibidos en las agencias gubernamentales y los contratistas de defensa de EE. UU.

El gobierno federal alemán no ha encontrado pruebas que Kaspersky no está haciendo ningún bien, y aquí en Tom's Guide aún no estoy convencido que el software de Kasperky no es seguro para la mayoría de las personas. Pero este incidente posiblemente menor solo aumentará las sospechas de algunas personas sobre Kaspersky.

Tom's Guide se ha puesto en contacto con Kaspersky para hacer comentarios y actualizaremos esta historia cuando recibamos una respuesta.

¿Aún no estás fuera de peligro?

Eikenberg instaló el parche de junio en sus máquinas y en las de sus colegas, y descubrió que el software de Kaspersky todavía inyecta una identificación en cada página web mostrada. La diferencia es que el ID ahora es idéntico para todas las máquinas que ejecutan la misma versión del software Kaspersky.

Por supuesto, "esa es realmente información valiosa para un atacante", como escribió Eikenberg. "Pueden usar esa información para distribuir malware adaptado al software de protección o para redirigir el navegador a una página de estafa adecuada".

Eikenberg se lo ha informado a Kaspersky como una falla separada.

ACTUALIZAR: Kaspersky respondió a nuestra consulta de comentarios con esta declaración, en su totalidad:

"Kaspersky ha cambiado el proceso de comprobar las páginas web en busca de actividad maliciosa al eliminar el uso de identificadores únicos para las solicitudes GET. Este cambio se realizó después de que Ronald Eikenberg nos informara que el uso de identificadores únicos para las solicitudes GET puede conducir potencialmente a la divulgación de la información personal de un usuario.

"Después de nuestra investigación interna, hemos llegado a la conclusión de que estos escenarios de compromiso de la privacidad del usuario son, en teoría posible, pero es poco probable que se lleve a cabo en la práctica, debido a su complejidad y baja rentabilidad para ciberdelincuentes. Sin embargo, trabajamos constantemente para mejorar nuestras tecnologías y productos, lo que resulta en un cambio en este proceso. Nos gustaría agradecer a Ronald Eikenberg por informarnos de esto ".

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.