Abo
  • IT-Karriere:

Antiviren-Software: Kaspersky-Javascript ermöglichte Nutzertracking

Die Kaspersky-Antivirensoftware bindet in jede Webseite eigenen Javascript-Code ein. Bis vor kurzem war dieser noch mit einer eindeutigen ID versehen, den man zum Tracking nutzen konnte.

Artikel veröffentlicht am ,
Kasperskys Antiviren-Software verwendet fragwürdige Methoden, um die Aufrufe von Webseiten zu manipulieren.
Kasperskys Antiviren-Software verwendet fragwürdige Methoden, um die Aufrufe von Webseiten zu manipulieren. (Bild: Alexander Plushev, Wikimedia Commons/CC-BY 2.0)

Die Antiviren-Software von Kaspersky manipuliert geladene Webseiten und fügt dort Javascript-Code ein. Das hat die Zeitschrift c't aufgedeckt. Webseiten hätten diesen Code zum Tracking nutzen können. Das Tracking hat Kaspersky jetzt unterbunden, doch problematisch bleibt das Ganze weiterhin.

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. STRABAG BRVZ GMBH & CO.KG, Stuttgart

Ronald Eikenberg, einem Journalisten der Zeitschrift c't, war aufgefallen, dass auf einem System mit der Antiviren-Software von Kaspersky bei allen Webseitenaufrufen eine zusätzliche Javascript-Datei geladen wurde. Kaspersky manipuliert dabei auch verschlüsselte HTTPS-Verbindungen, indem die Software ein Root-Zertifikat im System installiert und dann einen Man-in-the-Middle-Angriff durchführt - eine Methode, die schon in der Vergangenheit zu Sicherheitsproblemen geführt hat.

Eindeutige Kennung wird in jede geladene Webseite eingefügt

Im Pfad der geladenen Javascript-Datei befand sich ein längerer hexadezimaler Code in Form einer UUID. Das Pikante daran: Anhand dieses Codes konnte man einen Nutzer eindeutig erkennen, denn dieser war bei jeder Installation ein anderer. Denn da der Code in fremde Webseiten eingefügt wird, können diese darauf zugreifen und ihn auslesen.

Eikenberg meldete dies und Kaspersky veröffentlichte im Juli ein Securityadvisory und ein entsprechendes Update. In einem Test konnten wir das Verhalten nachvollziehen. Wenn man von der Kaspersky-Webseite aktuell eine kostenlose Testversion herunterlädt, zeigt die noch das alte Verhalten: Jedes System, auf dem die Software installiert ist, meldet sich mit einer eigenen ID. Erst als wir manuell ein Update durchgeführt haben, wurde die ID vereinheitlicht.

Wirklich befriedigend ist das nicht. Denn das Verhalten führt auch dazu, dass Kaspersky anhand der HTTP-Referrer sehen kann, welche Webseiten Nutzer aufrufen. Zudem ist es denkbar, dass in dem von Kaspersky eingefügten Javascript-Code selbst Sicherheitsprobleme schlummern. Damit der Code auf Webseiten, die Content Security Policy einsetzen, überhaupt geladen werden kann, manipuliert Kaspersky auch diesen Header und setzt damit möglicherweise Schutzmechanismen außer Kraft.



Anzeige
Spiele-Angebote
  1. 2,69€
  2. 16,99€
  3. 4,99€
  4. 39,99€

apedev 16. Aug 2019 / Themenstart

Korrekt. Solange du nichts gegen Uncle Sam sagst, hast du nichts zu befürchten. Deine...

apedev 16. Aug 2019 / Themenstart

Ich frage mich da auch wie man das feststellt, dass man nicht infiziert ist. Immerhin...

antiphp 15. Aug 2019 / Themenstart

Bin vor 2 Jahren zu ESET gewechselt weil mich die AJAX Calls von Kaspersky genervt haben...

MarcusK 15. Aug 2019 / Themenstart

@Golem Warum bauen sie JS in jede Seite ein? Was ist das Ziel davon? Das sie jede Seite...

twothe 15. Aug 2019 / Themenstart

Als ich vor Jahren Kaspersky mal ausprobiert hatte, musste ich danach meine Festplatte...

Kommentieren


Folgen Sie uns
       


LED-Projektor Viewsonic X10-4K - Test

Der Viewsonic X10-4K ist ein heller und farbtreuer 4K-Projektor - und kann einen Smart-TV ersetzen.

LED-Projektor Viewsonic X10-4K - Test Video aufrufen
Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Galaxy Note 10 im Hands on: Samsungs Stift-Smartphone kommt in zwei Größen
Galaxy Note 10 im Hands on
Samsungs Stift-Smartphone kommt in zwei Größen

Samsung hat sein neues Android-Smartphone Galaxy Note 10 präsentiert - erstmals in zwei Versionen: Die Plus-Variante hat ein größeres Display und einen größeren Akku sowie eine zusätzliche ToF-Kamera. Günstig sind sie nicht.
Ein Hands on von Tobias Költzsch

  1. Werbung Samsung bewirbt Galaxy Note 10 auf seinen Smartphones
  2. Smartphone Samsung präsentiert Kamerasensor mit 108 Megapixeln
  3. Galaxy Note 10 Samsung korrigiert Falschinformation zum Edelstahlgehäuse

    •  /