Kasperskys Antivirus-Programme ermöglichten jahrelang Web-Tracking durch Dritte
Für einen großen Test verscheidener Antiviren-Programme installierte der c‘t-Redakteur Ronald Eikenberg u.a. auch den Schutz von Kaspersky. Zufällig ließ er sich dabei auch den Quellcode einer beliebigen Webseite anzeigen und entdeckte dabei, dass die Kaspersky-Software eigenen Code injiziert hatte.
Weitere Untersuchungen brachten zutage, dass der betreffende JavaScript-Code in jedwede Webseite eingebunden wurde, welche er mittels beliebiger Browser besucht hatte. Der externe Code ist anscheinend dafür zuständig grüne Schutzschilde hinter, für Kaspersky, ungefährliche Google-Such-Treffer anzuzeigen.
Das Problem: Teil des Codes ist eine ID. Die Installation der Virenschutz-Software auf weiteren Rechnern ergab dann, dass sich diese ID für jeden PC ändert, ansonsten aber persistent war. Dies bedeutet, dass Kaspersky zusammen mit dem Code auch eine dauerhafte ID in den Webseite-Code einschleuste, welche sich einem bestimmten Rechner zuordnen lässt.
Theoretisch hätte so jede besuchte Webseite den Code und damit die ID auslesen können. Mit der rechnerspezifischen ID hätte man die Webaktivitäten des betreffenden Users tracken können. Das gilt über Browsergrenzen hinaus und ignoriert sogar den Inkognito-Modus des Browsers.
Dass ein Sicherheitsunternehmen solch einen banalen aber krassen Fehler übersieht, konnte sich der Redakteur kaum vorstellen, eine eigens programmierte Webseite las aber tatsächlich die IDs mehrerer Test-Rechner aus, wodurch er sie bei erneutem Besuch gar mit dem Namen der Besitzer begrüßen konnte.
Sogleich wurden die Fehler dem Unternehmen gemeldet, zwei Wochen später bestätigte Kaspersky, dass sämtliche Consumer-Versionen von Leck betroffen seien, von Kaspersky Internet Security bis hin zu Total Security ab den Versionen 2016 vom Herbst 2015. Zusätzlich sei auch die Version Small Office Security für kleinere Unternehmen betroffen.
Mittlerweile wurde das Problem gepatcht. Aber noch immer wird jeder Webseite ein Code injiziert, inklusive ID, welche nun aber für jeden Rechner gleich ist. Allerdings verrät der Code den Webseiten noch immer auf welchen Systemen Kaspersky installiert ist und in welcher Version. Auch diese Information kann für Angriffe missbraucht werden. Immerhin lässt sich das Vorgehen unter den Optionen abstellen, hierfür klickt man zunächst auf das Zahnrad, anschließend auf Erweitert/Netzwerk. Nun muss unter „Verarbeitung des Datenverkehrs“ die Option „Skript für die Interaktion mit Webseiten in den Datenverkehr einbinden“ deaktiviert werden.