今天报道卡巴斯基在未经用户同意的情况下在所有网页的HTML源代码中注入了通用唯一标识符(UUID)。以前版本的防病毒软件为每个用户生成了一个UUID;一个7月11日的补丁改为一个不那么独特的标识符但没有停止注射。
UUID几乎无处不在。公司使用它们来识别需要跟踪的用户,设备和其他实体。但是,如果这些标识符没有得到妥善管理,它们可能会被用于恶意目的。例如,蓝牙停止广告唯一标识符,因为黑客正在使用它们来追踪人。其他公司已采取类似的预防措施,使用他们使用的工具,无论是UUID还是其他东西,作为标识符。
卡巴斯基基本上做了相反的事情。C't表示它在6月份发现防病毒软件在他们访问的每个网页中都注入了一个包含UUID的字符串。目前尚不清楚为什么注入这些UUID--虽然一个标记某些Google搜索结果为“安全”的功能可能是罪魁祸首 - 或者它们应该如何被使用。该公司只是在未经用户同意的情况下生成并将这些UUID注入网页。
C't表示它建立了一个简单的网站,能够在向卡巴斯基报告问题之前收集这些UUID。然后它告诉公司这个问题,就问题的严重性进行了一些反复讨论,并看着卡巴斯基发布补丁在七月。但进一步的测试显示卡巴斯基没有停止将这个字符串注入其用户的浏览活动中;它只是抛弃了UUID的静态标识符。
这种变化确实减少了卡巴斯基代码注入的隐私影响。但是,它并没有完全消除其客户的风险,因为知道有人使用卡巴斯基仍然是一个有价值的信息。任何依赖以前版本的防病毒软件(可能包含更新版本中修补的漏洞)的人都可能被定位,因为应该保护它们的工具显示出一个弱点。
我们本周早些时候说过对Windows Defender的改进使得很难为Windows 10推荐第三方防病毒解决方案。了解卡巴斯基为网站运营商提供了一种在他们不知情或不同意的情况下跟踪其用户的简单方法,这使得该建议更加难以实现。人们购买了一个工具,以便他们可以保护自己的系统,但相反,他们得到了一个故意向世界广播唯一标识符的工具。