HTML/JavaScript

Kaspersky Antivirus Flaw ने उपयोगकर्ताओं को क्रॉस-साइट ट्रैकिंग ऑनलाइन के लिए उजागर किया

इस डिजिटल युग में, लगभग हर मार्केटिंग, विज्ञापन और एनालिटिक्स कंपनी की सफलता के लिए इंटरनेट पर नज़र रखने वाले उपयोगकर्ताओं के माध्यम से उन्हें पहचानने और लक्षित विज्ञापन प्रदान करने के लिए उनके हितों को जानने के लिए ड्राइव करता है।
इनमें से अधिकांश समाधान 3-पार्टी कुकीज़, आपके द्वारा ब्राउज़ किए जा रहे डोमेन के अलावा किसी अन्य डोमेन पर सेट कुकी पर निर्भर करते हैं, जो Google और Facebook सहित कंपनियों को आपको कई साइटों पर आपके हर कदम को ट्रैक करने के लिए फिंगरप्रिंट करने की अनुमति देता है।
हालाँकि, यदि आप कास्परस्की एंटीवायरस का उपयोग कर रहे हैं, तो सुरक्षा सॉफ़्टवेयर में एक भेद्यता ने पिछले 4 वर्षों में आपके द्वारा देखी गई प्रत्येक वेबसाइट पर आपसे जुड़ी एक विशिष्ट पहचानकर्ता को उजागर कर दिया था, जो शायद आपको ट्रैक करने के लिए उन साइटों और अन्य तृतीय-पक्ष सेवाओं की अनुमति दे सकता है। भले ही आपने तृतीय-पक्ष कुकीज़ को समय पर अवरुद्ध या मिटा दिया हो, पूरे वेब पर।
भेद्यता, जिसे CVE-2019-8286 के रूप में पहचाना जाता है और स्वतंत्र सुरक्षा शोधकर्ता रोनाल्ड ईकेनबर्ग द्वारा खोजा जाता है, जिस तरह से एंटीवायरस सॉफ़्टवेयर में एक URL स्कैनिंग मॉड्यूल को एकीकृत करता है, जिसे Kaspersky URL सलाहकार कहा जाता है, काम करता है।
डिफ़ॉल्ट रूप से, Kaspersky इंटरनेट सुरक्षा समाधान एक दूरस्थ रूप से होस्ट की गई जावास्क्रिप्ट फ़ाइल को सीधे आपके द्वारा देखे जाने वाले प्रत्येक वेब पेज के HTML कोड में, सभी वेब ब्राउज़रों के लिए, यहां तक ​​कि गुप्त मोड में - यह जांचने की कोशिश में कि क्या पेज संदिग्ध की सूची से संबंधित है और फ़िशिंग वेब पते।
खैर, यह कोई आश्चर्य की बात नहीं है, क्योंकि अधिकांश इंटरनेट सुरक्षा समाधान दुर्भावनापूर्ण सामग्री के लिए वेब पृष्ठों की निगरानी करने के लिए उसी तरह से काम करते हैं।
हालांकि, ईकेनबर्ग पाता है कि इस जावास्क्रिप्ट फ़ाइल के URL में एक स्ट्रिंग है जो हर Kaspersky उपयोगकर्ता के लिए अद्वितीय है, एक UUID (विश्वविद्यालय की विशिष्ट पहचानकर्ता) की तरह है जिसे आसानी से वेबसाइटों, अन्य तृतीय-पक्ष विज्ञापन और विश्लेषिकी सेवाओं द्वारा कैप्चर किया जा सकता है। जोखिम में उपयोगकर्ता की गोपनीयता।
   "यह एक बुरा विचार है क्योंकि अन्य स्क्रिप्ट जो वेबसाइट डोमेन के संदर्भ में चलती हैं, किसी भी समय HTML कोड तक पहुंच सकती हैं- और इस तरह से Kaspersky ID को इंजेक्ट किया जाता है। इसका सीधा अर्थ है कि कोई भी वेबसाइट उपयोगकर्ता की Kaspersky ID को आसानी से पढ़ सकती है। और ट्रैकिंग के लिए इसका दुरुपयोग करते हैं, "शोधकर्ता कहते हैं।
   "आईडी लगातार बनी रही और कई दिनों के बाद भी नहीं बदली। इससे यह स्पष्ट हो गया कि आईडी को स्थायी रूप से एक विशिष्ट कंप्यूटर को सौंपा जा सकता है।"
ईकेनबर्ग ने कैसपर्सकी को अपने निष्कर्षों की सूचना दी, जिन्होंने इस मुद्दे को स्वीकार किया और पिछले महीने ही एक निरंतर मूल्य (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) का उपयोग करके सभी उपयोगकर्ताओं के लिए जावास्क्रिप्ट URL में UUID का उपयोग करने के बजाय इसे पेश किया।
कंपनी ने अपनी एडवाइजरी में कहा, "कैस्परस्की ने अपने उत्पादों में एक सुरक्षा मुद्दा (CVE-2019-8286) तय किया है, जो यूनिक प्रोडक्ट आईडी का उपयोग करके उपयोगकर्ता की गोपनीयता से संभावित रूप से समझौता कर सकता है।"
"इस मुद्दे को उपयोगकर्ता डेटा प्रकटीकरण के रूप में वर्गीकृत किया गया था। हमलावर को वेब सर्वर पर एक दुर्भावनापूर्ण स्क्रिप्ट तैयार और तैनात करना होगा जहां से वह उपयोगकर्ता को ट्रैक करेगा।"
हालाँकि, कैस्परस्की URL सलाहकार सुविधा अभी भी वेबसाइटों और तृतीय-पक्ष सेवाओं को यह पता लगाने में सक्षम बनाती है कि क्या किसी आगंतुक के पास अपने सिस्टम पर कैस्परस्की सॉफ़्टवेयर स्थापित है, जो शोधकर्ता का मानना ​​है कि स्कैमर्स और साइबर अपराधियों द्वारा अप्रत्यक्ष रूप से दुर्व्यवहार किया जा सकता है।
   "एक हमलावर सुरक्षा सॉफ़्टवेयर के अनुरूप एक कीट को फिर से विभाजित करने के लिए इस जानकारी का उपयोग कर सकता है या इसे एक उपयुक्त घोटाले पृष्ठ पर पुनर्निर्देशित कर सकता है, नारे के साथ: आपका कैस्परस्की लाइसेंस समाप्त हो गया है। कृपया सदस्यता को नवीनीकृत करने के लिए अपना क्रेडिट कार्ड नंबर दर्ज करें," ईकेनबर्ग ने चेतावनी दी।
कैस्परस्की एंटीवायरस, इंटरनेट सिक्योरिटी, टोटल सिक्योरिटी, फ्री एंटीवायरस और स्मॉल ऑफिस सिक्योरिटी प्रोडक्ट के अपडेटेड वर्जन पहले ही प्रभावित यूजर्स तक पहुंचा दिए गए हैं।
लेकिन, जो उपयोगकर्ता इस ट्रैकिंग को पूरी तरह से अक्षम करना चाहते हैं, वे सेटिंग्स से अतिरिक्त रूप से URL सलाहकार सुविधा को मैन्युअल रूप से अक्षम कर सकते हैं → अतिरिक्त → नेटवर्क → अन-चेक ट्रैफ़िक प्रोसेसिंग बॉक्स, जैसा कि ऊपर दिए गए स्क्रीनशॉट में दिखाया गया है।

Post a Comment

2 Comments