Original-URL des Artikels: https://www.golem.de/news/antiviren-software-kaspersky-javascript-ermoeglichte-nutzertracking-1908-143229.html    Veröffentlicht: 15.08.2019 15:21    Kurz-URL: https://glm.io/143229

Antiviren-Software

Kaspersky-Javascript ermöglichte Nutzertracking

Die Kaspersky-Antivirensoftware bindet in jede Webseite eigenen Javascript-Code ein. Bis vor kurzem war dieser noch mit einer eindeutigen ID versehen, den man zum Tracking nutzen konnte.

Die Antiviren-Software von Kaspersky manipuliert geladene Webseiten und fügt dort Javascript-Code ein. Das hat die Zeitschrift c't aufgedeckt. Webseiten hätten diesen Code zum Tracking nutzen können. Das Tracking hat Kaspersky jetzt unterbunden, doch problematisch bleibt das Ganze weiterhin.

Ronald Eikenberg, einem Journalisten der Zeitschrift c't, war aufgefallen, dass auf einem System mit der Antiviren-Software von Kaspersky bei allen Webseitenaufrufen eine zusätzliche Javascript-Datei geladen wurde. Kaspersky manipuliert dabei auch verschlüsselte HTTPS-Verbindungen, indem die Software ein Root-Zertifikat im System installiert und dann einen Man-in-the-Middle-Angriff durchführt - eine Methode, die schon in der Vergangenheit zu Sicherheitsproblemen geführt hat.

Eindeutige Kennung wird in jede geladene Webseite eingefügt

Im Pfad der geladenen Javascript-Datei befand sich ein längerer hexadezimaler Code in Form einer UUID. Das Pikante daran: Anhand dieses Codes konnte man einen Nutzer eindeutig erkennen, denn dieser war bei jeder Installation ein anderer. Denn da der Code in fremde Webseiten eingefügt wird, können diese darauf zugreifen und ihn auslesen.

Eikenberg meldete dies und Kaspersky veröffentlichte im Juli ein Securityadvisory und ein entsprechendes Update. In einem Test konnten wir das Verhalten nachvollziehen. Wenn man von der Kaspersky-Webseite aktuell eine kostenlose Testversion herunterlädt, zeigt die noch das alte Verhalten: Jedes System, auf dem die Software installiert ist, meldet sich mit einer eigenen ID. Erst als wir manuell ein Update durchgeführt haben, wurde die ID vereinheitlicht.

Wirklich befriedigend ist das nicht. Denn das Verhalten führt auch dazu, dass Kaspersky anhand der HTTP-Referrer sehen kann, welche Webseiten Nutzer aufrufen. Zudem ist es denkbar, dass in dem von Kaspersky eingefügten Javascript-Code selbst Sicherheitsprobleme schlummern. Damit der Code auf Webseiten, die Content Security Policy einsetzen, überhaupt geladen werden kann, manipuliert Kaspersky auch diesen Header und setzt damit möglicherweise Schutzmechanismen außer Kraft.

 (hab)


Verwandte Artikel:
Geheimdienst: Ehemaliger NSA-Mitarbeiter zu neun Jahren Haft verurteilt   
(22.07.2019, https://glm.io/142696 )
Kompression: Antiviren-Programme stolpern über ZIP-Bombe   
(07.08.2019, https://glm.io/143052 )
Microsoft Windows: Einige Antivirenprogramme verhindern Januar-Updates   
(08.01.2018, https://glm.io/132019 )
Safari: Webkit bekommt Richtlinie für Trackingschutz   
(15.08.2019, https://glm.io/143220 )
Datenschutz: Kritik an Wahlkampf-App der Grünen   
(15.08.2019, https://glm.io/143225 )

© 1997–2020 Golem.de, https://www.golem.de/