• IT-Karriere:
  • Services:

Antiviren-Software: Kaspersky-Javascript ermöglichte Nutzertracking

Die Kaspersky-Antivirensoftware bindet in jede Webseite eigenen Javascript-Code ein. Bis vor kurzem war dieser noch mit einer eindeutigen ID versehen, den man zum Tracking nutzen konnte.

Artikel veröffentlicht am ,
Kasperskys Antiviren-Software verwendet fragwürdige Methoden, um die Aufrufe von Webseiten zu manipulieren.
Kasperskys Antiviren-Software verwendet fragwürdige Methoden, um die Aufrufe von Webseiten zu manipulieren. (Bild: Alexander Plushev, Wikimedia Commons/CC-BY 2.0)

Die Antiviren-Software von Kaspersky manipuliert geladene Webseiten und fügt dort Javascript-Code ein. Das hat die Zeitschrift c't aufgedeckt. Webseiten hätten diesen Code zum Tracking nutzen können. Das Tracking hat Kaspersky jetzt unterbunden, doch problematisch bleibt das Ganze weiterhin.

Stellenmarkt
  1. HDP Gesellschaft für ganzheitliche Datenverarbeitung mbH, Alzey
  2. Universität Passau, Passau

Ronald Eikenberg, einem Journalisten der Zeitschrift c't, war aufgefallen, dass auf einem System mit der Antiviren-Software von Kaspersky bei allen Webseitenaufrufen eine zusätzliche Javascript-Datei geladen wurde. Kaspersky manipuliert dabei auch verschlüsselte HTTPS-Verbindungen, indem die Software ein Root-Zertifikat im System installiert und dann einen Man-in-the-Middle-Angriff durchführt - eine Methode, die schon in der Vergangenheit zu Sicherheitsproblemen geführt hat.

Eindeutige Kennung wird in jede geladene Webseite eingefügt

Im Pfad der geladenen Javascript-Datei befand sich ein längerer hexadezimaler Code in Form einer UUID. Das Pikante daran: Anhand dieses Codes konnte man einen Nutzer eindeutig erkennen, denn dieser war bei jeder Installation ein anderer. Denn da der Code in fremde Webseiten eingefügt wird, können diese darauf zugreifen und ihn auslesen.

Eikenberg meldete dies und Kaspersky veröffentlichte im Juli ein Securityadvisory und ein entsprechendes Update. In einem Test konnten wir das Verhalten nachvollziehen. Wenn man von der Kaspersky-Webseite aktuell eine kostenlose Testversion herunterlädt, zeigt die noch das alte Verhalten: Jedes System, auf dem die Software installiert ist, meldet sich mit einer eigenen ID. Erst als wir manuell ein Update durchgeführt haben, wurde die ID vereinheitlicht.

Wirklich befriedigend ist das nicht. Denn das Verhalten führt auch dazu, dass Kaspersky anhand der HTTP-Referrer sehen kann, welche Webseiten Nutzer aufrufen. Zudem ist es denkbar, dass in dem von Kaspersky eingefügten Javascript-Code selbst Sicherheitsprobleme schlummern. Damit der Code auf Webseiten, die Content Security Policy einsetzen, überhaupt geladen werden kann, manipuliert Kaspersky auch diesen Header und setzt damit möglicherweise Schutzmechanismen außer Kraft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 1.488€ (Vergleichspreis 1.599€)
  2. (u. a. I See You, Broken City, Attraction & Attraction 2, Amundsen: Wettlauf zum Südpol, Coma, Red...
  3. (u. a. Philips Ambilight 50PUS6704/12 für 339,99€, Philips Ambilight 65PUS6704/12 für 629,99€)
  4. 19,99€ (Vergleichspreis 46€)

apedev 16. Aug 2019

Korrekt. Solange du nichts gegen Uncle Sam sagst, hast du nichts zu befürchten. Deine...

apedev 16. Aug 2019

Ich frage mich da auch wie man das feststellt, dass man nicht infiziert ist. Immerhin...

antiphp 15. Aug 2019

Bin vor 2 Jahren zu ESET gewechselt weil mich die AJAX Calls von Kaspersky genervt haben...

MarcusK 15. Aug 2019

@Golem Warum bauen sie JS in jede Seite ein? Was ist das Ziel davon? Das sie jede Seite...

twothe 15. Aug 2019

Als ich vor Jahren Kaspersky mal ausprobiert hatte, musste ich danach meine Festplatte...


Folgen Sie uns
       


Razer Eracing Simulator ausprobiert (CES 2020)

Der Eracing Simulator von Razer versucht, das Fahrgefühl in einem Rennwagen wiederzugeben. Dank Motoren und einer großen Leinwand ist die Immersion sehr gut, wie Golem.de im Hands on feststellen konnte.

Razer Eracing Simulator ausprobiert (CES 2020) Video aufrufen
DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  2. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben
  3. Datenschutz Rechtsanwaltskanzlei zählt 160.000 DSGVO-Verstöße

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April

    •  /