ein heißen Thema und was wusste kasperksyRonald Eikenberg
15.08.2019
Datenklau, Datenschutz, Sicherheitslücken, Tracking, Tracking-Schwachstelle in Kaspersky-Software, Virenscanner
Mit seiner Antiviren-Software verspricht Kaspersky Sicherheit und Datenschutz. Durch ein Datenleck konnten Dritte die Nutzer allerdings jahrelang beim Surfen ausspionieren.
This article is also available in English
Für unseren großen Test von Antiviren-Software in c’t 3/2019 installierte ich den Virenschutz von Kaspersky auf meinem Arbeitsrechner, um am eigenen Leib zu erfahren, welchen Mehrwert die Schutzprogramme der großen Antiviren-Hersteller noch im Alltag bieten.
Die darauffolgenden Wochen und Monate waren wenig aufregend – die Kaspersky-Software funktionierte im Wesentlichen genauso gut oder schlecht wie der Windows Defender. Eines Tages machte ich jedoch eine sonderbare Entdeckung. Ich ließ mir den HTML-Quelltext einer x-beliebigen Webseite anzeigen und stieß auf die folgende Zeile Code:
<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.co ... 15/main.js" charset="UTF-8"></script>
Offensichtlich wurde hier ein externes JavaScript namens main.js von einer Kaspersky-Domain nachgeladen. Das ist nicht ungewöhnlich, schließlich kommt heutzutage kaum noch eine Website ohne externe JavaScript-Ressourcen aus.
Ungewöhnlich wurde es erst, als ich mir den HTML-Text weiterer Websites anzeigen ließ: Den rätselhaften Code fand ich ausnahmslos auf jeder Site – sogar auf der Seite meiner Hausbank. Mir schwante, dass die Kaspersky-Software etwas damit zu tun haben muss.
Kaspersky wirbt mit dem Schutz der Privatsphäre. Das von c't endeckte Datenleck hat jedoch für den gegenteiligen Effekt gesorgt.
Kaspersky wirbt mit dem Schutz der Privatsphäre. Das von c't endeckte Datenleck hat jedoch für den gegenteiligen Effekt gesorgt. (Bild: Kaspersky.de)
Ich beschloss, der Sache auf den Grund zu gehen und wiederholte das Experiment mit Firefox, Edge und Opera. Auch hier stieß ich überall auf den Code. Da keine verdächtigen Browser-Erweiterungen installiert waren, die für diesen Effekt verantwortlich sein konnten, ließen meine Versuche nur einen Schluss zu: Der Kaspersky-Virenschutz manipulierte ungefragt meinen Datenverkehr und schleuste den Code ein. Bisher kannte ich dieses Verhalten nur von Online-Banking-Trojanern, die auf diese Weise Bankenseiten manipulieren, um etwa das Überweisungsziel zu ändern.
Doch wozu macht Kaspersky das? Um diese Frage zu klären, untersuchte ich das eingeschleuste Skript main.js. Anscheinend ist es unter anderem dafür zuständig, grüne Schutzschilde hinter Google-Suchtreffern einzublenden, wenn ein Link nach Einschätzung von Kaspersky sauber ist. Damit könnte meine Analyse zu Ende sein, doch ein kleines Detail ließ mir noch keine Ruhe. In der Adresse, von der das Kaspersky-Skript geladen wurde, steckt nämlich eine verdächtige Zeichenfolge:
https://gc.kis.v2.scr.kaspersky-labs.co ... 15/main.js
Der fett markierte Abschnitt ist nach einem charakteristischen Muster zusammengesetzt. Der Aufbau passt zu einer sogenannten UUID – das steht für Universally Unique Identifier. Solche IDs nutzt man, um Dinge eindeutig identifizierbar zu machen. Doch wen oder was kann man über die Kaspersky-ID identifizieren?
Ich weitete mein Experiment aus und installierte die Kaspersky-Software auf weiteren Rechnern. Auch auf den anderen Systemen schleuste Kaspersky das JavaScript ein. Ich entdeckte jedoch einen entscheidenden Unterschied: Die UUID in der Quelladresse war auf jedem System eine andere. Die IDs waren persistent und änderten sich auch nach mehreren Tagen nicht. Damit war klar, dass sich eine ID dauerhaft einem bestimmten Rechner zuordnen lässt.
Die verdächtige ID
Irritiert hat mich auch der Ort, an dem ich auf die ID stieß: Die Kaspersky-Software schleuste sie direkt in den HTML-Code der Websites ein. Und das ist eine schlechte Idee, weil andere Skripte, die im Kontext der Website-Domain laufen, jederzeit auf den HTML-Code zugreifen können – und somit auch auf die eingeschleuste Kaspersky-ID.
Das bedeutet im Klartext, dass jede beliebige Website die Kaspersky-ID des Nutzers einfach so auslesen und zum Tracking missbrauchen kann. Wenn diese Vermutung stimmt, dann hat Kaspersky eine gefährliche Tracking-Möglichkeit geschaffen, die jedes Cookie alt aussehen lässt: In diesem Fall können Websites die Kaspersky-Nutzer über Browsergrenzen hinweg verfolgen. Doch damit nicht genug: Das Super-Tracking kann dann sogar den Inkognito-Modus des Browsers überwinden und führt diesen somit ad absurdum.Quellen: https://www.heise.de/ct/artikel/Kasper- ... 95127.html
Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team
wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
- Astor27
- Moderator
- Beiträge: 25464
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0.2/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9487 Mal
- Danksagung erhalten: 8644 Mal
wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
- Folgende Benutzer bedankten sich beim Autor Astor27 für den Beitrag (Insgesamt 2):
- darktwillight • Joker
Ich empfehle den download und update immer von der Original Seite der Software.
- Claudia
- Unverzichtbar
- Beiträge: 6816
- Registriert: Do 9. Feb 2012, 17:33
- Betriebssystem: openSuse-Win 10 Pro
- Hat sich bedankt: 3959 Mal
- Danksagung erhalten: 6696 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
im Prinzip gilt das grundsätzlich für alle AV`s die sich in den https einklinken!
Einerseits ohne kein Webschutz oder Analyse möglich, anderseits mit den beschriebenen Nachteilen.
Der Unterschied besteht in der Umsetzung der Kontrolle und da sollte Ct dann auch die anderen Programme unter die Lupe nehmen, sonst sieht das nach gezielter "Verunglimpfung" aus m.M.n.
Auch ESET kann verschlüsselte Seiten überprüfen
Einstellungen für den HTTPS-Scanner
ESET Internet Security unterstützt auch die HTTPS-Protokollprüfung. Bei der HTTPS-Kommunikation wird zur Datenübertragung zwischen Server und Client ein verschlüsselter Kanal verwendet. ESET Internet Security überwacht die mit Hilfe der Protokolle SSL (Secure Socket Layer) und TLS (Transport Layer Security) abgewickelte Kommunikation. Unabhängig von der Version des Betriebssystems wird nur Datenverkehr an Ports gescannt, die unter Vom HTTPS-Protokoll verwendete Ports definiert wurden.
Verschlüsselter Datenverkehr wird standardmäßig geprüft. Um die Prüfeinstellungen anzuzeigen, navigieren Sie zu SSL/TLS in den erweiterten Einstellungen, klicken Sie auf Web und E-Mail > SSL/TLS, und aktivieren Sie die Option SSL/TLS-Protokollfilterung aktivieren.
Einerseits ohne kein Webschutz oder Analyse möglich, anderseits mit den beschriebenen Nachteilen.
Der Unterschied besteht in der Umsetzung der Kontrolle und da sollte Ct dann auch die anderen Programme unter die Lupe nehmen, sonst sieht das nach gezielter "Verunglimpfung" aus m.M.n.
Auch ESET kann verschlüsselte Seiten überprüfen
Einstellungen für den HTTPS-Scanner
ESET Internet Security unterstützt auch die HTTPS-Protokollprüfung. Bei der HTTPS-Kommunikation wird zur Datenübertragung zwischen Server und Client ein verschlüsselter Kanal verwendet. ESET Internet Security überwacht die mit Hilfe der Protokolle SSL (Secure Socket Layer) und TLS (Transport Layer Security) abgewickelte Kommunikation. Unabhängig von der Version des Betriebssystems wird nur Datenverkehr an Ports gescannt, die unter Vom HTTPS-Protokoll verwendete Ports definiert wurden.
Verschlüsselter Datenverkehr wird standardmäßig geprüft. Um die Prüfeinstellungen anzuzeigen, navigieren Sie zu SSL/TLS in den erweiterten Einstellungen, klicken Sie auf Web und E-Mail > SSL/TLS, und aktivieren Sie die Option SSL/TLS-Protokollfilterung aktivieren.
- Folgende Benutzer bedankten sich beim Autor Claudia für den Beitrag (Insgesamt 4):
- Astor27 • Dr.Virus • darktwillight • Joker
1: openSuse + Win 22H2
- darktwillight
- Foren Gott
- Beiträge: 13420
- Registriert: Mo 5. Aug 2013, 00:51
- Betriebssystem: Win11.Pro/Zorin17+
- Browser: Firefox
- Firewall: Windows +
- Virenscanner: eset
- Hat sich bedankt: 13593 Mal
- Danksagung erhalten: 4804 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
Nur Grundsätzlich sollte eine ID nicht eindeutig Identifizierbar sein,
wenn sie jede beliebige Website die Sicherheitssoftware -ID des Nutzers einfach so auslesen und zum Tracking missbrauchen kann.
Wie gesagt es mag auch noch andere Hersteller Betreffen, aber das Problem sollte
eigentlich so nicht auftauchen dürfen.
Wenn eine allgemeine und universell gleiche ID für eine Webseite zu erkennen ist ist es
nicht so schlimm.
wenn sie jede beliebige Website die Sicherheitssoftware -ID des Nutzers einfach so auslesen und zum Tracking missbrauchen kann.
Wie gesagt es mag auch noch andere Hersteller Betreffen, aber das Problem sollte
eigentlich so nicht auftauchen dürfen.
Wenn eine allgemeine und universell gleiche ID für eine Webseite zu erkennen ist ist es
nicht so schlimm.
- Folgende Benutzer bedankten sich beim Autor darktwillight für den Beitrag (Insgesamt 4):
- Alex • Astor27 • Joker • Claudia
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
- Joker
- Foren Gigant
- Beiträge: 8684
- Registriert: So 20. Apr 2014, 11:24
- Betriebssystem: Windows 10 22H2
- Virenscanner: Immer aktuell
- Hat sich bedankt: 3257 Mal
- Danksagung erhalten: 6370 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
Auch Günter Born hat sich mit dem Thema kritisch auseinandergesetzt:
Ein ‘Super-Cookie’ für den Rechner
Da der eingeschleuste JavaScript-Code durch andere Webseiten abfragbar ist und eine dem System eindeutig
zugeordnete UUID enthält, lässt sich ein Benutzer beim Besuch von Webseiten eindeutig identifizieren. Er
kann auch (ohne Cookies) über Web- und sogar Browsergrenzen hinweg verfolgt werden.
Der heise-Redakteur bastelte eine kleine Webseite mit einem Script, um diese Tracking-Codes
auszulesen. Danach konnte er seine Testleser aus der heise-Redaktion beim Besuch der Webseite
identifizieren – egal, welchen Browser diese verwendeten.
"(Quelle: https://www.borncity.com/blog/2019/08/1 ... ore-221717)"
- Folgende Benutzer bedankten sich beim Autor Joker für den Beitrag (Insgesamt 3):
- Claudia • Astor27 • darktwillight
DNS-Verschlüsselung
FRITZ!Box = DNS over TLS (DoT) Quad9
Mozilla Firefox = DNS over HTTPS (DoH) Quad9
FRITZ!Box = DNS over TLS (DoT) Quad9
Mozilla Firefox = DNS over HTTPS (DoH) Quad9
- Joker
- Foren Gigant
- Beiträge: 8684
- Registriert: So 20. Apr 2014, 11:24
- Betriebssystem: Windows 10 22H2
- Virenscanner: Immer aktuell
- Hat sich bedankt: 3257 Mal
- Danksagung erhalten: 6370 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
Noch was zum Lesen. Der Artikel ist zwar schon über 2 Jahre alt, aber noch
immer aktuell, finde ich.
Ein Forscherteam warnt vor Antivirus-Software, die HTTPS-Verbindungen abfangen kann. Selbst populäre
Anwendungen würden die Verbindungssicherheit einer Untersuchung zufolge drastisch senken.
"(Quelle: https://t3n.de/news/antivirus-https-ver ... er-794090/)"
immer aktuell, finde ich.
Ein Forscherteam warnt vor Antivirus-Software, die HTTPS-Verbindungen abfangen kann. Selbst populäre
Anwendungen würden die Verbindungssicherheit einer Untersuchung zufolge drastisch senken.
"(Quelle: https://t3n.de/news/antivirus-https-ver ... er-794090/)"
- Folgende Benutzer bedankten sich beim Autor Joker für den Beitrag (Insgesamt 2):
- Astor27 • darktwillight
DNS-Verschlüsselung
FRITZ!Box = DNS over TLS (DoT) Quad9
Mozilla Firefox = DNS over HTTPS (DoH) Quad9
FRITZ!Box = DNS over TLS (DoT) Quad9
Mozilla Firefox = DNS over HTTPS (DoH) Quad9
- Astor27
- Moderator
- Beiträge: 25464
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0.2/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9487 Mal
- Danksagung erhalten: 8644 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
update /info
Die Antiviren-Software von Kaspersky fügte jahrelang Webseiten, die man öffnete, ein paar Zeilen Code hinzu. Das Problem: In dem Codeschnipsel steckte auch eine ID, mit der Webseiten-Betreiber prima den Nutzer hätten tracken können. c't-Redakteur Ronald Eikenberg hat dieses Datenleck gefunden und erklärt in c't uplink, wie es überhaupt dazu kam.
Carsten Spille hat die neue Epyc-Generation von AMDs Server-CPUs getestet. Bis zu 64 Kerne hat ein Prozessor - wir sprechen darüber, welche Vorteile das mit sich bringt.Quellen: https://www.heise.de/ct/artikel/Kaspers ... 95161.html
Ich empfehle den download und update immer von der Original Seite der Software.
- Claudia
- Unverzichtbar
- Beiträge: 6816
- Registriert: Do 9. Feb 2012, 17:33
- Betriebssystem: openSuse-Win 10 Pro
- Hat sich bedankt: 3959 Mal
- Danksagung erhalten: 6696 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
Kaspersky-Nutzer sollten schnell updaten: Gefährlicher Privatsphäre-Bug im Virenscanner entdeckt
https://www.chip.de/news/Privatsphaere- ... 42567.htmlEin Bug in verschiedenen Kaspersky-Virenscannern hat wohl schon seit 2015 die Privatsphäre von Nutzern gefährdet. Das Unternehmen spielt die Gefahr herunter, liefert aber seit Kurzem einen Patch aus. Doch der bügelt das Problem nicht komplett aus. Kaspersky-Nutzer können eine bestimmte Funktion gezielt deaktivieren, doch auch das ist keine perfekte Lösung.
1: openSuse + Win 22H2
- Schulte
- Fortgeschrittener
- Beiträge: 164
- Registriert: Fr 19. Aug 2016, 20:53
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 223 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
Ich denke nicht, dass Kaspersky die Gefahr herunterspielt. Sie betrachten es nur etwas nüchterner als die Presse, die den Fehler aufbauscht.
Tatsache ist, dass eine Webseite einen Kaspersky-Nutzer wiedererkennen konnte. Etwa so, wie viele Seiten es mit (Tracking-)Cookies machen. Es konnten dadurch aber keine weiteren Daten wie Name, Mailadresse,... abgezogen werden. Nur das Tracking selbst war möglich, mehr nicht.
KL hat hier offensichtlich ein "gut gemeint" nicht zu Ende gedacht. Sollte einem AV-Hersteller nicht passieren...
Was jetzt noch möglich ist, und als weitere Gefahr dargestellt wird: eine präparierte Seite kann feststellen, dass der Besucher ein KL-Produkt benutzt. Und das wars dann schon.
Tatsache ist, dass eine Webseite einen Kaspersky-Nutzer wiedererkennen konnte. Etwa so, wie viele Seiten es mit (Tracking-)Cookies machen. Es konnten dadurch aber keine weiteren Daten wie Name, Mailadresse,... abgezogen werden. Nur das Tracking selbst war möglich, mehr nicht.
KL hat hier offensichtlich ein "gut gemeint" nicht zu Ende gedacht. Sollte einem AV-Hersteller nicht passieren...
Was jetzt noch möglich ist, und als weitere Gefahr dargestellt wird: eine präparierte Seite kann feststellen, dass der Besucher ein KL-Produkt benutzt. Und das wars dann schon.
- Folgende Benutzer bedankten sich beim Autor Schulte für den Beitrag (Insgesamt 2):
- Astor27 • darktwillight
- Schulte
- Fortgeschrittener
- Beiträge: 164
- Registriert: Fr 19. Aug 2016, 20:53
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 223 Mal
Re: wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert
Kaspersky hat einen Artikel im Blog veröffentlicht:
https://www.kaspersky.com/blog/tracking-ids-bug/27979/
Wem das Lesen/Übersetzen zu mühsam ist: im Wesentlichen entspricht der Artikel meinem Vorpost.
https://www.kaspersky.com/blog/tracking-ids-bug/27979/
Wem das Lesen/Übersetzen zu mühsam ist: im Wesentlichen entspricht der Artikel meinem Vorpost.
- Folgende Benutzer bedankten sich beim Autor Schulte für den Beitrag:
- darktwillight