Saksalainen it-julkaisu C’t kertoo löytäneensä todisteita, kuinka Kasperskyn tietoturvaohjelmisto vuotaa dataa sellaisella tavalla, että se sallii hyökkääjän vakoilla, mitä käyttäjä netissä tekee.

C’t oli artikkeliaan varten testannut Kasperskyn antivirusohjelmistoa ja aluksi näytti siltä, että Kasperskyn paketti toimii yhtä hyvin kuin Windowsin oma tietoturvaratkaisu Windows Defender.

Eräänä päivänä artikkelia työstänyt toimittaja Ronald Eikerberg kuitenkin löysi omituisen JavaScript-koodin pätkän satunnaiselta nettisivulta. Se oli peräisin Kasperskyn palvelimilta.

Tässä ei sinällään ole mitään ihmeellistä, sillä kuten Eikerberg toteaa, sivustot harvoin toimivat ilman ulkoisia javascriptejä.

Vasta kun Eikerberg huomasi, että samainen koodi löytyy joka ikiseltä sivustolta pankkia myöten alkoivat epäilykset herätä. Koodi löytyi käytetystä selaimesta riippumatta, vaikka selainta ei oltu käytetty aiemmin lainkaan.

Ainoa johtopäätös oli, että Kasperskyn virustorjuntaohjelmisto injektoi javascript-koodia lupaa kysymättä.

Eikerberg laajensi tutkimuksiaan asentamalla Kasperskyn useammalle koneelle. Jokaisella koneella virussuoja injektoi koodia lupaa kysymättä.

Mikä vakavampaa, Kaspersky merkitsi jokaisen koneen yksilöidyllä uuid-tunnisteella, jonka se syötti jokaisen vieraillun nettisivuston html-lähdekoodiin.

Eikerberg toteaa, että tämä on harvinaisen huono ratkaisu, sillä mikä tahansa sivustolla pyörivä koodinpätkä voi nähdä tämän yksilöidyn tunnisteen.

Toisin sanoen, mikä tahansa verkkosivu voi lukea Kasperskyn tunnisteen ja käyttää sitä käyttäjän nettikäytöksen seuraamiseen riippumatta siitä, mitä selainta tämä koneellaan käyttää, tai onko se anonyymissä tilassa kuten Chromen incognito-tila.

Eikerberg testasi onko pelolle todella syytä ja pystytti yksinkertaisen verkkosivun, joka lukisi ja tallentaisi kävijän uuid-tunnisteen, jonka Kaspersky niin ystävällisesti tarjosi esiin.

Temppu toimi kuin unelma.

Eikerberg nappasi tunnisteet talteen, ja pisti sivustonsa tervehtimään koekäyttäjiä nimeltä aina, kun he osallistuivat Eikerbergin testiin, riippumatta siitä tuhosivatko nämä keksit, vaihtoivatko he selainta tai kytkivätkö he incognito-tilan päälle.

Eikerberg otti Kasperskyyn yhteyttä, ja parin viikon sisällä Kaspersky vahvisti ongelman olevan maailmanlaajuinen. Se koski kaikkia Kasperskyn Windows-ohjelmistoja, aina ilmaisista kokeiluversioista kaupallisiin luksustuotteisiin.

Seurannan mahdollistava uuid-tunniste on tullut tällä tavalla näkyviin vuoden 2015 Kaspersky-ohjelmistoissa, ja kuten Eikerberg toteaa, jos hän on onnistunut sen löytämään, niin on varmasti moni muukin, ja käyttäjiä on voitu seurata netissä neljän vuoden ajan.

Kaspersky korjasi asian päivityksillä. Tai ainakin tavallaan – yksilöidyn tunnisteen sijasta käyttäjille annetaan yhteinen tunniste. Yksittäistä käyttäjää ei siis enää voida tunnistaa ja seurata, mutta tämä on riittämätön ratkaisu: Kaspersky edelleen paljastaa vierailijan käyttävän Kasperskyä sekä ohjelmiston versionumeron. Tämä on hyökkääjälle arvokasta, sillä se auttaa hakkeria räätälöimään hyökkäyksensä iskemään juuri tähän ohjelmistoon.

Huolestaan huolimatta Eikerberg huomauttaa, että kyseisen seurannan saa myös kytkettyä pois päältä: Kaspersky ohjelmistossa on hammasratasikoni josta pääsee säätämään verkkoasetuksia. Siellä on alivalikko Traffic Processing, jonka alta löytyy namiska ”Inject script into web traffic to interact with web pages”, ja tämä pitää kytkeä pois päältä.