4 phút để đọc
Trong thời đại số hiện nay, thành công của hầu hết các công ty marketing, quảng cáo và công ty phân tích đều dựa vào việc theo dõi người dùng qua Internet để nhận dạng, tìm hiểu sở thích của họ và cung cấp quảng cáo theo đúng những gì họ cần.
Đa phần các giải pháp này đều phải nhờ vào cookie của một bên thứ ba. File cookie này được cài đặt trên một tên miền khác tên miền bạn đang truy cập, cho phép các công ty như Google và Facebook lấy fingerprint của bạn để theo dõi từng cử chỉ, hoạt động của bạn trên nhiều trang.
Tuy nhiên, dành cho người dùng Kaspersky Antivirus, một lỗ hổng trong phần mềm bảo mật này đã khiến cho một chuỗi định danh “bám theo” bạn tới mỗi website bạn truy cập trong 4 năm gần đây. Điều này có thể đã cho phép các trang đó và các dịch vụ thứ ba khác theo dõi hoạt động của bạn trên mạng, ngay cả khi bạn đã chặn hoặc xóa cookies của bên thứ ba.
Người dùng Kaspersky bị theo dõi suốt 4 năm
Lỗ hổng này, được gọi với cái tên CVE-2019-8286, được phát hiện bởi nhà nghiên cứu bảo mật tự do Ronald Eikenberg. Nó tồn tại trong một mô-đun quét URL, được tích hợp vào phần mềm chống virus, gọi là Kaspersky URL Advisor.
Giải pháp bảo mật mặc định của Kaspersky Internet đã cài đặt thẳng một file JavaScript được lưu trữ từ xa vào mã HTML của mỗi trang web bạn truy cập – đối với tất cả trình duyệt, ngay cả trong chế độ ẩn danh – với mục đích kiểm tra xem trang web đó có nằm trong danh sách địa chỉ web đáng ngờ hay mạo danh lừa đảo hay không.
Điều này cũng không có gì đáng ngạc nhiên vì hầu hết các giải pháp bảo mật Internet đều giám sát các trang web, đề phòng nội dung độc hại theo cách như vậy.
Tuy nhiên, Eikenberg đã phát hiện ra rằng URL của file JavaScript này có chứa một chuỗi ký tự dành riêng cho mỗi người dùng của Kaspersky. Chuỗi ký tự này tương tự như một ký hiệu nhận dạng duy nhất (UUID – Universally Unique Identifier), có thể bị website hoặc dịch vụ quảng cáo, phân tích thuộc bên thứ ba nắm được, gây ảnh hưởng đến sự riêng tư của người dùng.
“Đây là một ý tưởng tồi vì các tập lệnh khác chạy trên website có thể truy cập mã HTML bất cứ lúc nào – và đồng thời truy cập được cả ID Kaspersky được cài vào đó. Theo ngôn ngữ thông thường thì điều này đơn giản có nghĩa là mọi website có thể đọc được ID Kaspersky và lợi dụng nó để theo dõi người dùng”, chuyên gia này cho biết.
“Các ID này đều ổn định và không thay đổi sau vài ngày, có nghĩa là một ID có thể chỉ thuộc về một máy tính duy nhất.”
Kaspersky đã xử lý vấn đề này ra sao?
Eikenberg đã báo cho Kaspersky về phát hiện của ông. Sau khi nhận ra vấn đề, Kaspersky đã sửa chữa bằng cách cấp cho tất cả người dùng một giá trị bất biến (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) thay vì sử dụng UUID trong URL của JavaScript.
“Kaspersky đã giải quyết một vấn đề bảo mật (CVE-2019-8286) trong sản phẩm của chúng tôi. Vấn đề này có nguy cơ gây hại đến sự riêng tư của người dùng qua việc sử dụng ID riêng có thể bị truy cập bởi các bên thứ ba,” công ty này lên tiếng trong cảnh báo của mình về vụ việc.
“Đây là một vấn đề về làm lộ dữ liệu người dùng. Kẻ tấn công phải chuẩn bị và triển khai một đoạn script độc hại trên máy chủ của web, từ đó hắn có thể theo dõi người dùng.”
Rủi ro vẫn còn tiềm ẩn
Tuy nhiên, tính năng của Kaspersky URL Advisor vẫn cho phép website và các dịch vụ thuộc bên thứ ba biết được người truy cập có cài đặt phần mềm Kaspersky trên hệ thống hay không. Vì thế nên Eikenberg cho rằng tính năng này có thể bị những kẻ lừa đảo hoặc tội phạm mạng gián tiếp lợi dụng.
“Kẻ tấn công có thể sử dụng thông tin này để lan truyền một nội dung độc hại trong phần mềm bảo mật này hoặc dẫn người dùng tới một trang lừa đảo, với thông báo: Cấp phép đăng kí Kaspersky của bạn đã hết hạn. Vui lòng nhập số thẻ tín dụng để làm mới đăng kí,” Eikenberg cảnh báo.
Phiên bản cập nhật của Kaspersky Antivirus, Internet Security, Total Security, Free Antivirus, và Small Office Security đã được gửi tới những người dùng bị ảnh hưởng.
Tuy nhiên, nếu muốn vô hiệu hóa toàn bộ tính năng theo dõi này, người dùngì có thể vô hiệu hóa URL Advisor bằng cách vào Settings → Additional → Network → Bỏ chọn ô “Traffic processing” (xử lý lưu lượng) như ảnh trên.
