wurden durch ein Datenleck Kaspersky-Virenschutz Nutzer auspioniert

[Astor27]

Ronald Eikenberg
15.08.2019
Datenklau, Datenschutz, Sicherheitslücken, Tracking, Tracking-Schwachstelle in Kaspersky-Software, Virenscanner

Mit seiner Antiviren-Software verspricht Kaspersky Sicherheit und Datenschutz. Durch ein Datenleck konnten Dritte die Nutzer allerdings jahrelang beim Surfen ausspionieren.

This article is also available in English

Für unseren großen Test von Antiviren-Software in c’t 3/2019 installierte ich den Virenschutz von Kaspersky auf meinem Arbeitsrechner, um am eigenen Leib zu erfahren, welchen Mehrwert die Schutzprogramme der großen Antiviren-Hersteller noch im Alltag bieten.

Die darauffolgenden Wochen und Monate waren wenig aufregend – die Kaspersky-Software funktionierte im Wesentlichen genauso gut oder schlecht wie der Windows Defender. Eines Tages machte ich jedoch eine sonderbare Entdeckung. Ich ließ mir den HTML-Quelltext einer x-beliebigen Webseite anzeigen und stieß auf die folgende Zeile Code:

<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.co ... 15/main.js" charset="UTF-8"></script>

Offensichtlich wurde hier ein externes JavaScript namens main.js von einer Kaspersky-Domain nachgeladen. Das ist nicht ungewöhnlich, schließlich kommt heutzutage kaum noch eine Website ohne externe JavaScript-Ressourcen aus.

Ungewöhnlich wurde es erst, als ich mir den HTML-Text weiterer Websites anzeigen ließ: Den rätselhaften Code fand ich ausnahmslos auf jeder Site – sogar auf der Seite meiner Hausbank. Mir schwante, dass die Kaspersky-Software etwas damit zu tun haben muss.
Kaspersky wirbt mit dem Schutz der Privatsphäre. Das von c't endeckte Datenleck hat jedoch für den gegenteiligen Effekt gesorgt.
Kaspersky wirbt mit dem Schutz der Privatsphäre. Das von c't endeckte Datenleck hat jedoch für den gegenteiligen Effekt gesorgt. (Bild: Kaspersky.de)

Ich beschloss, der Sache auf den Grund zu gehen und wiederholte das Experiment mit Firefox, Edge und Opera. Auch hier stieß ich überall auf den Code. Da keine verdächtigen Browser-Erweiterungen installiert waren, die für diesen Effekt verantwortlich sein konnten, ließen meine Versuche nur einen Schluss zu: Der Kaspersky-Virenschutz manipulierte ungefragt meinen Datenverkehr und schleuste den Code ein. Bisher kannte ich dieses Verhalten nur von Online-Banking-Trojanern, die auf diese Weise Bankenseiten manipulieren, um etwa das Überweisungsziel zu ändern.

Doch wozu macht Kaspersky das? Um diese Frage zu klären, untersuchte ich das eingeschleuste Skript main.js. Anscheinend ist es unter anderem dafür zuständig, grüne Schutzschilde hinter Google-Suchtreffern einzublenden, wenn ein Link nach Einschätzung von Kaspersky sauber ist. Damit könnte meine Analyse zu Ende sein, doch ein kleines Detail ließ mir noch keine Ruhe. In der Adresse, von der das Kaspersky-Skript geladen wurde, steckt nämlich eine verdächtige Zeichenfolge:

https://gc.kis.v2.scr.kaspersky-labs.co ... 15/main.js

Der fett markierte Abschnitt ist nach einem charakteristischen Muster zusammengesetzt. Der Aufbau passt zu einer sogenannten UUID – das steht für Universally Unique Identifier. Solche IDs nutzt man, um Dinge eindeutig identifizierbar zu machen. Doch wen oder was kann man über die Kaspersky-ID identifizieren?
Ich weitete mein Experiment aus und installierte die Kaspersky-Software auf weiteren Rechnern. Auch auf den anderen Systemen schleuste Kaspersky das JavaScript ein. Ich entdeckte jedoch einen entscheidenden Unterschied: Die UUID in der Quelladresse war auf jedem System eine andere. Die IDs waren persistent und änderten sich auch nach mehreren Tagen nicht. Damit war klar, dass sich eine ID dauerhaft einem bestimmten Rechner zuordnen lässt.
Die verdächtige ID
Irritiert hat mich auch der Ort, an dem ich auf die ID stieß: Die Kaspersky-Software schleuste sie direkt in den HTML-Code der Websites ein. Und das ist eine schlechte Idee, weil andere Skripte, die im Kontext der Website-Domain laufen, jederzeit auf den HTML-Code zugreifen können – und somit auch auf die eingeschleuste Kaspersky-ID.
Das bedeutet im Klartext, dass jede beliebige Website die Kaspersky-ID des Nutzers einfach so auslesen und zum Tracking missbrauchen kann. Wenn diese Vermutung stimmt, dann hat Kaspersky eine gefährliche Tracking-Möglichkeit geschaffen, die jedes Cookie alt aussehen lässt: In diesem Fall können Websites die Kaspersky-Nutzer über Browsergrenzen hinweg verfolgen. Doch damit nicht genug: Das Super-Tracking kann dann sogar den Inkognito-Modus des Browsers überwinden und führt diesen somit ad absurdum.Quellen: https://www.heise.de/ct/artikel/Kasper- ... 95127.html

ein heißen Thema und was wusste kasperksy

[Claudia]

im Prinzip gilt das grundsätzlich für alle AV`s die sich in den https einklinken!
Einerseits ohne kein Webschutz oder Analyse möglich, anderseits mit den beschriebenen Nachteilen.

Der Unterschied besteht in der Umsetzung der Kontrolle und da sollte Ct dann auch die anderen Programme unter die Lupe nehmen, sonst sieht das nach gezielter "Verunglimpfung" aus m.M.n.

Auch ESET kann verschlüsselte Seiten überprüfen

Einstellungen für den HTTPS-Scanner

ESET Internet Security unterstützt auch die HTTPS-Protokollprüfung. Bei der HTTPS-Kommunikation wird zur Datenübertragung zwischen Server und Client ein verschlüsselter Kanal verwendet. ESET Internet Security überwacht die mit Hilfe der Protokolle SSL (Secure Socket Layer) und TLS (Transport Layer Security) abgewickelte Kommunikation. Unabhängig von der Version des Betriebssystems wird nur Datenverkehr an Ports gescannt, die unter Vom HTTPS-Protokoll verwendete Ports definiert wurden.

Verschlüsselter Datenverkehr wird standardmäßig geprüft. Um die Prüfeinstellungen anzuzeigen, navigieren Sie zu SSL/TLS in den erweiterten Einstellungen, klicken Sie auf Web und E-Mail > SSL/TLS, und aktivieren Sie die Option SSL/TLS-Protokollfilterung aktivieren.

[darktwillight]

Nur Grundsätzlich sollte eine ID nicht eindeutig Identifizierbar sein,
wenn sie jede beliebige Website die Sicherheitssoftware -ID des Nutzers einfach so auslesen und zum Tracking missbrauchen kann.

Wie gesagt es mag auch noch andere Hersteller Betreffen, aber das Problem sollte
eigentlich so nicht auftauchen dürfen.
Wenn eine allgemeine und universell gleiche ID für eine Webseite zu erkennen ist ist es
nicht so schlimm.

[Joker]

Auch Günter Born hat sich mit dem Thema kritisch auseinandergesetzt:

Ein ‘Super-Cookie’ für den Rechner
Da der eingeschleuste JavaScript-Code durch andere Webseiten abfragbar ist und eine dem System eindeutig
zugeordnete UUID enthält, lässt sich ein Benutzer beim Besuch von Webseiten eindeutig identifizieren. Er
kann auch (ohne Cookies) über Web- und sogar Browsergrenzen hinweg verfolgt werden.

Der heise-Redakteur bastelte eine kleine Webseite mit einem Script, um diese Tracking-Codes
auszulesen. Danach konnte er seine Testleser aus der heise-Redaktion beim Besuch der Webseite
identifizieren – egal, welchen Browser diese verwendeten.
"(Quelle: https://www.borncity.com/blog/2019/08/1 ... ore-221717)"

[Joker]

Noch was zum Lesen. Der Artikel ist zwar schon über 2 Jahre alt, aber noch
immer aktuell, finde ich.

Ein Forscherteam warnt vor Antivirus-Software, die HTTPS-Verbindungen abfangen kann. Selbst populäre
Anwendungen würden die Verbindungssicherheit einer Untersuchung zufolge drastisch senken.
"(Quelle: https://t3n.de/news/antivirus-https-ver ... er-794090/)"

[Astor27]

update /info

Die Antiviren-Software von Kaspersky fügte jahrelang Webseiten, die man öffnete, ein paar Zeilen Code hinzu. Das Problem: In dem Codeschnipsel steckte auch eine ID, mit der Webseiten-Betreiber prima den Nutzer hätten tracken können. c't-Redakteur Ronald Eikenberg hat dieses Datenleck gefunden und erklärt in c't uplink, wie es überhaupt dazu kam.
Carsten Spille hat die neue Epyc-Generation von AMDs Server-CPUs getestet. Bis zu 64 Kerne hat ein Prozessor - wir sprechen darüber, welche Vorteile das mit sich bringt.Quellen: https://www.heise.de/ct/artikel/Kaspers ... 95161.html

[Claudia]

Kaspersky-Nutzer sollten schnell updaten: Gefährlicher Privatsphäre-Bug im Virenscanner entdeckt

Ein Bug in verschiedenen Kaspersky-Virenscannern hat wohl schon seit 2015 die Privatsphäre von Nutzern gefährdet. Das Unternehmen spielt die Gefahr herunter, liefert aber seit Kurzem einen Patch aus. Doch der bügelt das Problem nicht komplett aus. Kaspersky-Nutzer können eine bestimmte Funktion gezielt deaktivieren, doch auch das ist keine perfekte Lösung.

https://www.chip.de/news/Privatsphaere- ... 42567.html

[Schulte]

Ich denke nicht, dass Kaspersky die Gefahr herunterspielt. Sie betrachten es nur etwas nüchterner als die Presse, die den Fehler aufbauscht.

Tatsache ist, dass eine Webseite einen Kaspersky-Nutzer wiedererkennen konnte. Etwa so, wie viele Seiten es mit (Tracking-)Cookies machen. Es konnten dadurch aber keine weiteren Daten wie Name, Mailadresse,... abgezogen werden. Nur das Tracking selbst war möglich, mehr nicht.

KL hat hier offensichtlich ein "gut gemeint" nicht zu Ende gedacht. Sollte einem AV-Hersteller nicht passieren...

Was jetzt noch möglich ist, und als weitere Gefahr dargestellt wird: eine präparierte Seite kann feststellen, dass der Besucher ein KL-Produkt benutzt. Und das wars dann schon.

[Schulte]

Kaspersky hat einen Artikel im Blog veröffentlicht:
https://www.kaspersky.com/blog/tracking-ids-bug/27979/

Wem das Lesen/Übersetzen zu mühsam ist: im Wesentlichen entspricht der Artikel meinem Vorpost.