Quando instalamos um antivírus em nosso computador ou celular, fazemos isso, em princípio, para nos proteger das ameaças que nos ameaçam pela Internet . No entanto, parece que nem tudo que reluz é ouro. Pelo menos no caso do Kaspersky, que acaba de ser lançado.
Por pelo menos quatro anos, os produtos antivírus da Kaspersky Lab comprometeram a segurança dos clientes que os instalaram. Quão? Pois bem, pelo que acaba de ser publicado, através da injeção de um código identificador único no HTML de cada uma das páginas web que o utilizador visitou. Desta forma, qualquer site pode identificar um usuário quando ele usa o modo de navegação anônima em um navegador ou quando muda de navegador para usar o Chrome, Firefox ou Edge.
A informação, publicada na c't Magazine, revela que esse código foi injetado em JavaScript pela Kaspersky em todas as páginas que o usuário visitou. Isso foi usado para inserir um código verde , que representava um link seguro, retornado nos resultados da pesquisa. Era o seguinte:
Um código a ser rastreado, mesmo no modo de navegação anônima
O responsável por esta descoberta é Ronald Eikenberg, que encontrou o famoso JavasScript injetado pelo antivírus que havia instalado em seu computador, da Kaspersky. Isso gerou um rótulo único - uma espécie de código com diferentes números e letras (especificamente 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615) - que foi injetado em cada uma das páginas visitadas através do navegador.
Isso também acontecia com qualquer navegador. Ele o testou com Chrome, Firefox, Edge e Opera. E o resultado era sempre o mesmo. Na verdade, o código de um homem só foi injetado no html das páginas, mesmo quando acessado do navegador no modo anônimo. Esse mesmo código é o que os responsáveis por qualquer site poderiam usar se quisessem rastreá-lo como um usuário.
Kaspersky opera há 4 anos desta forma
A verdade é que há pouco tempo isso não acontece. Nada está mais longe da realidade. A Kaspersky lançou o famoso identificador no outono de 2015 e, após o aviso de Eikenberg à própria empresa, parou de usá-lo. Aconteceu em junho deste ano, então o Kaskpersy o utilizou por quase quatro anos e em todas as versões de antivírus para Windows que a empresa disponibilizou aos usuários. Também nas versões que podem ser baixadas gratuitamente e que são Kaspersky Internet Security e Kaspersky Total Security.
O problema de segurança foi identificado com o seguinte código CVE-2019-8286. Para os especialistas, adicionar um identificador único é uma opção totalmente desnecessária, embora também existam outros sistemas que podem ajudar a identificar o usuário, como cookies e endereços IP . Seja como for, não estamos perante uma opção ideal para manter a privacidade dos utilizadores.
Por sua vez, a Kaspersky não demorou a apresentar uma declaração na qual reconhece que os identificadores únicos foram eliminados, após ter sido informada pelo referido jornalista, a quem agradece o seu trabalho. Eles consideram, no entanto, que embora os identificadores possam ser usados para identificar os usuários, é improvável que os cibercriminosos rastreiem essas características. Em primeiro lugar porque é um procedimento complexo e, em segundo lugar, porque não seria lucrativo.