Eine Software, die eigentlich vor Bedrohungen aus dem Internet schützen soll, hat möglicherweise über Jahre die Privatsphäre ihrer Nutzer gefährdet.
Die Virenschutz-Software von Kaspersky gehört zu den bekanntesten und auch verbreitetsten Schutz-Programmen in kleineren Unternehmen.
Nach einer Untersuchung der Zeitschrift c’t [1] existierte über einen nicht weiter einzugrenzenden Zeitraum in den Windows-Versionen der Programm-Pakete für private Anwender und kleinere Unternehmen eine Sicherheitslücke, die die Privatsphäre der Nutzer aushebelte.
Zum Programm-Paket gehört auch ein Werkzeug, mit dessen Hilfe der Nutzer bei der Suche mit Google aus Sicht des Herstellers vertrauenswürdige Webseiten erkennen soll. Diese vertrauenswürdigen Webseiten werden in der Trefferliste farbig markiert.
Um diese Darstellung zu ermöglichen, muss die Software den HTML-Code, den der Browser darstellt wird, anpassen.
Dazu schleust die Software einen vom eingesetzten Browser unabhängigen Codeblock ein. Wie das Magazin herausgefunden hat, ist in diesem Codeblock eine ID integriert, die offenbar dauerhaft gespeichert und genutzt wurde.
Das Einschleusen dieser Kennung in den HTML-Code der Webseite erlaubt es aber anderen Skripten, die auf der gleichen Webseite serverseitig laufen, die ID der Schutzsoftware auszulesen.
Da diese ID über Tage identisch war, ist technisch somit die Kennung einem bestimmten Computer zuzuordnen.
Somit erfüllt die Funktion, die eigentlich die Sicherheit erhöhen soll, die gleiche Aufgabe wie ein siteübergreifendes Tracking [2], wie es die Werbewirtschaft etwa durch das Setzen von Cookies erzielt.
Das Tracking funktionierte browserübergreifend und hebelte auch einen Inkognito-Modus des Browsers aus.
Der Hersteller hat bereits auf die Problematik reagiert und diese Sicherheitslücke mittels eines Patches [3] geschlossen.
Kaspersky hat zudem einen offiziellen Sicherheitshinweis formuliert und den Nutzer gegenüber zugänglich gemacht.
Nach den Informationen der c’t hat Kaspersky den Mechanismus allerdings nicht vollständig überarbeitet, sondern setzt nach wie vor eine ID.
Diese ist allerdings jetzt für alle Nutzer und Systeme gleich. So ist keine Zuordnung zu einem bestimmten System mehr möglich.
Nach Ansicht von Kaspersky ist es unwahrscheinlich, dass Angreifer die Lücke bereits ausgenutzt haben. Eine Attacke darauf sei demnach „zu komplex und nicht profitabel genug für Cyberkriminelle“.