Kaspersky

Datenschutz Kaspersky

  • 15 August 2019
  • 53 replies
  • 4631 views

Userlevel 3
was ist dran an die Berichte
Die Antivirenprogramme der Firma Kaspersky sollen Hackerangriffe eigentlich abwenden. Dabei kommen laut Experten allerdings Tracking-Methoden zum Einsatz, die auch von Kriminellen missbraucht werden könnten, um Nutzer auszuspähen.
Quellen: https://www.t-online.de/digital/sicherheit/id_86271162/kaspersky-schlampt-beim-datenschutz-experten-entdecken-riskante-tracking-mittel-in-virensoftware.html
Mit seiner Antiviren-Software verspricht Kaspersky Sicherheit und Datenschutz. Durch ein Datenleck konnten Dritte die Nutzer allerdings jahrelang beim Surfen ausspionieren.
Quellen: https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Virenschutz-gefaehrdet-Privatsphaere-der-Nutzer-4495127.html

53 replies

Userlevel 7
Badge +6
..Dabei kommen laut Experten allerdings Tracking-Methoden zum Einsatz, die auch von Kriminellen missbraucht werden könnten, um Nutzer auszuspähen.[...]...Durch ein Datenleck konnten Dritte die Nutzer allerdings jahrelang beim Surfen ausspionieren.

Ganz so schlimm war Kasperskys Fehler dann auch nicht. Kriminelle konnten keine Daten ausspähen, auch "Dritte" konnten nichts ausspionieren.

Mit einer Einschränkung:
eine Webseite, die man besuchte, hatte die Möglichkeit, Kaspersky-Nutzer anhand der mit dem Script eingebundenen UUID wiederzuerkennen. Dazu musste in die Webseite natürlich eine entsprechende Funktion eingebunden sein.

Ein "krimineller" Webseitenbetreiber hätte damit ähnliche Informationen erhalten können wie mit einem stinknormalen Tracking-Cookie. Betreibt er mehrere Seiten, könnte er dann KL-User über seine Seiten verfolgen. Die müsste man dann aber auch besucht haben.
Mehr Info über den User konnte damit nicht abgegriffen werden.

Für eine Firma, die sich auch dem Kampf gegen Tracking verschrieben hat, ist das natürlich peinlich.

...aber gerade "Heise" ist für mich eine sehr seriöse Quelle.

Für mich auch.
Die Recherchen des Autors haben Hand und Fuss, aber einen kleinen Fehler hat er dann doch gemacht: das Script wird nicht wie angegeben vom KL-Server bezogen, sonder vom eigenen Rechner. Die URL wird auf localhost aufgelöst und führt nicht ins Internet.
Userlevel 7
Badge +6
Deswegen sollte man ja nicht unbedingt an die große Glocke hängen welches AV-Programm man verwendet.

Du brauchst doch nur die Script-Injection abschalten. Dann funktioniert zwar der URL-Advisor nicht mehr, den halte ich persönlich aber eh für wertlos. Eine als sicher gekennzeichnete Seite könnte vor wenigen Minuten auf eine infizierte umgebogen worden sein und KL hat das noch nicht mitbekommen...

Ich würde mir trotzdem noch wünschen das Kaspersky dazu öffentlich Stellung nimmt und sagt wie es weiter geht.

Vielleicht kommt noch was, aber sicher nicht hier im Forum. Da schliesse ich mich astors Meinung an.
Für KL ist die Sache mit dem Patch erstmal erledigt, aber der Fehler hat jetzt internationale Aufmerksamkeit erregt. Da muss KL Farbe bekennen.
Userlevel 7
Badge +6
Nochmal sorry,
die Forensoftware ist einfach grottig.

Hier die minimalisierte Form meines geplanten Beitrags:

KL fügt in die Webseite ein Script ein.
Das erkennt man im (veränderten) Quelltext an der Zeile:
[leider nicht darstellbar]
Damit wird ein Script injiziert, dass sich bereits auf dem eigenen Rechner befindet. Die Adresse wird nach localhost aufgelöst, das Script wird nicht aus dem Internet heruntergeladen.
Das Script selbst ermöglicht die Kommunikation zwischen KAV/KIS und dem AddOn im Browser und damit mit der dargestellten Seite. Links können erfasst und eine Bewertung dargestellt werden.

Um sicherzugehen, dass der erwartete Partner "angesprochen" wird, benutzte KL bislang die UUID, die auch das installierte Produkt identifiziert. Damit war die rechnerinterne Übertragung abgesichert, aber der Rechner eventuell nachverfolgbar.
Im injizierten Script sieht das z. B. so aus:
[leider nicht darstellbar]
Die aufgerufene Webseite könnte diese Variable auslesen, wenn sie mit einem entsprechenden Script "bestückt" wurde.

KL-Produkte prüfen aber die jeweils eingebetteten Scripte und können sie nach Bedarf auch blockieren.
Wenn also eine Seite diese Variable abfragt, könnte KL dichtmachen. Ob das umgesetzt wird, kann ich natürlich nicht voraussagen. Aber die Möglichkeit besteht.
Userlevel 7
Badge +6
KL hat mit dem Patch die Verwendung der UUID abgestellt.
Statt der eindeutigen rechnerbezogenen UUID wird nur noch eine KL-spezifische ID verwendet. Damit bist Du nicht mehr einer von einem, sondern einer von Millionen.

Wie es die anderen machen (falls sie es überhaupt anbieten), ist mir (noch) nicht bekannt. Es kommt aber nur ein ähnlicher Weg in Frage. Alle gebräuchlichen Browser isolieren sich nach aussen. Wenn eine Kommunikation mit einem Systemprozess (hier Kaspersky) stattfinden soll, muss eine vergleichbare Lösung benutzt werden.

Muss mich da mal schlau machen...
Userlevel 2
Diese Diskussion ist irgendwie völlig surreal und abgedreht…Viele der Poster hier haben Instagram, Reddit, Google Mail, Twitter und Facebook Accounts, die ALLES in der Zeitachse loggen - was, wie oft, wann, wie verknüpft, mit wem der User kommuniziert hat. Und? Scheint niemanden zu beunruhigen. Alle haben noch die Accounts und nutzen sie…Also was soll diese „Privatsphären Diskussion“ in Bezug auf KL???

Abgesehen davon - hat Heise sich auch solche Gedanken über die monatlichen Microsoft Windows Patches und die damit verbundenen Risiken gemacht? Hat sich Heise die gleichen Gedanken über Privatsphäre bei Google, Facebook, Twitter und co. gemacht?

Gut, KL hat da was übersehen was aus meiner Sicht, im Vergleich zu den oben genannten Datenstaubsaugern, ein minimales Risiko darstellt. So what !! KL hat in kürzester Zeit ein Patch geliefert. Gilt diese Reaktionszeit und -art auch für Microsoft, Google und co.? Da gibt es bis heute Risiken, die nicht gepatched wurden bzw. die gewollt eingebaut wurden und NIE gepatched werden, um einen totale User Kontrolle zu ermöglichen.

Zum Thema Kaspersky-Alternativen und Privatsphäre. Was gibt es denn für wirkliche Alternativen? Alternativen die NICHT von US Firmen kommen? Symantec z.B. hat meinen bezahlten Jahresvertrag für Norton von meinem PC gelöscht als ich in für kurze Zeit in einem „US embargoed county“ war. Dies zum Thema Tracking, Schutz und Privatsphäre. Dort konnte ich von KL ein AV Tool herunterladen und mich wieder sicher fühlen.

Der Artikel geht in die Richtung transatlantische Russenhatz… „meidet russische Produkte …“ und ich kann mich des Eindrucks nicht erwehren dass der Satz weitergehen könnte „…denn dies behindert die NSA beim Zugriff auf Ihre Daten…“.

Hier wird ein durchaus valides, aber identifiziertes und gelöstes Problem aufgebauscht, um User gezielt zu verängstigen. Erst wenn Heise und co. genauso über die Risiken bei Google, Symantec, Facebook und Twitter schreibt, werde ich mich mit dem Thema abgeben, denn die Alternative ist für mich nur die Verwendung von NICHT-US Produkten, Huawei start iPhone oder GoogleAndroid, UNIX statt Microsoft, Firefox statt Edge und Chrome, Kaspersky statt Symantec und co.

Lasst euch nicht manipulieren!!
Userlevel 4
Badge
datenschutzrichtlinie von kaspersky lab für websitesendbenutzer-lizenzvertrag (eula)DATENSCHUTZ
Was willst Du uns damit sagen?
Das Kaspersky einen "Fehler" gemacht hat beweißt ja schon dieser Link
https://support.kaspersky.com/general/vulnerability.aspx?el=12430#110719

Ich finde Kaspersky sollte dazu auch schnellstmöglich Stellung zu nehmen (Blog ect. )
Userlevel 4
Badge
Und laut Beschreibung fallen ja dann nicht nur die grünen Schutzschilder in den Suchmaschinen wer...

Userlevel 7
Badge +6
Hi @vch1,

es ist selbstverständlich jedem selbst überlassen, welche AV-Lösung er benutzt oder ob er ganz darauf verzichtet.
Hier wurde ein "gut gemeint" leider nicht zu Ende gedacht, dadurch entstand diese Trackingmöglichkeit. Du kannst aber sicher sein, dass MS, Google, FB, Amazon,... wesentlich mehr über Deine Surfgewohnheiten wissen als hier abgreifbar war. Und ob es je jemand genutzt hat, wissen wir auch nicht.
Dass es sich um einen peinlichen Fehler handelt, habe ich glaub' schon erwähnt...
Userlevel 7
Badge +6
Und laut Beschreibung fallen ja dann nicht nur die grünen Schutzschilder in den Suchmaschinen wer...

Gut, lasse ich gelten. Der "sichere Zahlungsverkehr" z. B. ist recht beliebt.

Der Gedanke kam mir nicht, da ich diese Komponenten und die "Untersuchung sicherer Verbindungen" nicht nutze.
Userlevel 7
Badge +6
KL wird da sicher nicht untätig bleiben.

Um diese Information auszulesen, muss die Seite ein Script einsetzen. Eine andere Möglichkeit gibt es meines Wissens nicht.
KL kann Scripts auf Webseiten blockieren...

Versteh mich bitte nicht falsch, ich möchte nichts schönreden.
Eine Bedrohung durch diesen (jetzt bekannten) Fehler kann ich dennoch nicht erkennen.
Userlevel 7
Badge +6
Laut Berichten diverser englischsprachiger Medien hat Kaspersky mit (jeweils dem selben) Statement auf deren Nachfragen geantwortet:

Kaspersky has changed the process of checking web pages for malicious activity by removing the usage of unique identifiers for the GET requests. This change was made after Ronald Eikenberg reported to us that using unique identifiers for the GET requests can potentially lead to the disclosure of a user's personal information.
After our internal research, we have concluded that such scenarios of user's privacy compromise are theoretically possible but are unlikely to be carried out in practice, due to their complexity and low profitability for cybercriminals. Nevertheless, we are constantly working on improving our technologies and products, resulting in a change in this process. We'd like to thank Ronald Eikenberg for reporting this to us."

Eine offizielle KL-Quelle habe ich leider auch nicht gefunden.
Userlevel 7
Badge +6
Ich habe immernoch ein Problem mit Deiner Einstufung der Bedrohung. Ich halte sie für präsent, aber extrem schwierig auszunutzen.

Du musst eine Webseite besuchen, die mit einem Script ausgestattet ist, dass diese ID auslesen kann. Was hat der Angreifer damit gewonnen? Die Information, dass Du ein (bestimmtes?) KL-Produkt benutzt.
Gleichzeitig kann er herausfinden, welchen Browser Du nutzt, welche Windowsversion, wer Dein Provider ist, welche IP Adresse Du hast,...

Wo liegt also der Vorteil, dass er KAV/KIS/... erkennen kann?
Einen speziellen Angriff auf die KL-Software auszuführen und damit auch noch erfolgreich zu sein ist meiner Meinung nach aus dem Browser heraus extrem schwierig. Dazu müssten erstmal Browserschwachstellen und anschließend Windowsschwachstellen ausgenutzt werden. Kein Hacker tut sich das freiwillig an.

Wo ich noch folgen kann, sind die gezielt platzierten Phishing-Seiten. Denen ist man Tag für Tag ausgesetzt. Wenn man nicht alles ohne Nachdenken anklickt, stellen sie eigentlich keine Gefahr dar. Und dann läuft ja auch noch Kaspersky...
Userlevel 4
Badge
ist ja alles richtig was du schreibst @Wallaby53 aber Kaspersky macht Werbung mit Datenschutz, Privatsphäre und und und. Und nur weil Google und FB mit Werbung Geld verdienen muss Kaspersky damit ja auch nicht damit anfangen (auch wenn es nur durch ein doofen „Fehler“ ist)

Und wenn es ne andere Möglichkeit gibt ohne die UUID die gleichen Funktionen anzubieten ist es doch okay
Eine fundierte technische Einschätzung kann ich nicht abgeben, aber gerade "Heise" ist für mich eine sehr seriöse Quelle. Inhaltlich ist das für einen treuen und langjährigen Kaspersky-Kunden doch äußerst schockierend.
Ich würde jedem raten, dies zu lesen und seine eigenen Schlüsse daraus zu ziehen. Allerdings hatte ich die interne Browser-Überwachung mit Fake-Zertifikat und Code-Einschleusungen schon vor vielen Monaten in KIS abgeschaltet - was ja glücklicherweise sehr einfach umsetzbar ist.
Userlevel 6
Badge +3
datenschutzrichtlinie von kaspersky lab für websites
endbenutzer-lizenzvertrag (eula)
DATENSCHUTZ
Userlevel 7
Badge +6
Siehs doch mal positiv:

die Seite stellt fest: Oh ein Kaspersky-Nutzer. Dann liefere ich lieber den regulären und nicht den schädlichen Code aus...😃

Im Ernst: einen Rat kann ich hier nicht geben.
Die KL-Lücke könnte nur eine Seite ausnutzen, die speziell dafür präpariert wurde. Wie viele davon gibt es und welche davon besuchst Du?
Die Lücke ist da, keine Frage. Bist Du in Gefahr? Nein, ich denke nicht.
Userlevel 4
Badge
Siehs doch mal positiv:

die Seite stellt fest: Oh ein Kaspersky-Nutzer. Dann liefere ich lieber den regulären und nicht den schädlichen Code aus...😃


Im Ernst: einen Rat kann ich hier nicht geben.
Die KL-Lücke könnte nur eine Seite ausnutzen, die speziell dafür präpariert wurde. Wie viele davon gibt es und welche davon besuchst Du?
Die Lücke ist da, keine Frage. Bist Du in Gefahr? Nein, ich denke nicht.

Klar bisher nicht aber dadurch das die Lücke (mit Angriffsbeispielen im Video) bekannt wird steigt eben die Chance extrem an das ich eben NICHT mehr Sicher bin.
Userlevel 4
Badge
Wie das genau geht weiß ich nicht aber was eben im Artikel steht

Nachdem Kaspersky den Patch verteilt hatte, ließ ich es mir nicht nehmen, meine Experimente zu wiederholen. Die Software schleust immer noch eine ID ein – nur ist diese jetzt bei allen Nutzern identisch [...]. Eine Website kann dadurch nicht länger einzelne Nutzer wiedererkennen. Es ist jedoch weiterhin möglich, herauszufinden, ob ein Besucher die Kaspersky-Software auf seinem System installiert hat und wie alt diese ungefähr ist. Ein Angreifer kann diese Information nutzen, um einen auf die Schutzsoftware zugeschnittenen Schädling zu verteilen oder auf eine passende Scam-Seite umzuleiten – frei nach dem Motto: „Ihre Kaspersky-Lizenz ist abgelaufen. Bitte geben Sie Ihre Kreditkartennummer ein, um das Abo zu verlängern“.

Hört sich einfach nicht gut an aber die Möglichkeit besteht ich bin da nicht der Profi.
Userlevel 7
Badge +6
sorry, die Forumsoftware hat alles geschrottet.
Ich mach morgen einen neuen Versuch.
Userlevel 4
Badge
Danke für deine Mühe aber ist die UUID denn wirklich nötig. Ich meine gibt es keine andere Möglichkeit irgendwie raus zu bekommen das der erwartete Partner angesprochen wird. Ich bin keine Programmierer und habe auch keine über 20 Jahre Erfahrung. Und es gibt ja auch noch andere AV-Programme (mit ähnlichen Funktionen) wie machen die es denn?
Userlevel 4
Badge
ja könnte ich aber da ich immer die KIS umsonst bekomme nutze ich sie auch
mfg

@astor27 Es gibt aber Benutzer die für Kaspersky viel Geld bezahlen und die vollen Funktionen nutzen möchte ohne irgendwelche Risiken.
Userlevel 4
Badge
Ich habe gerade Antwort vom Support bekommen.

"Sehr geehrter Kunde,

Ich möchte mich bei Ihnen für die zugesandten Informationen herzlich bedanken. Ich habe alle Daten, die Sie mir zur Verfügung gestellt haben, an unsere Produktentwicklung in Moskau weitergeleitet. Ihre Anfrage wird nun bearbeitet. Bitte warten Sie auf meine Antwort.

Bitte ignorieren Sie die Meldung " Wenn wir innerhalb der nächsten 7 Tage keine Antwort von Ihnen erhalten, gehen wir davon aus, dass der Fall gelöst wurde“, da dies nicht Ihren Fall betrifft.

Vielen Dank. "
Userlevel 2
Ich bin gerade dabei, den Support über MyKaspersky anzuschreiben.

PS: So, meine Anfrage an den Support wurde soeben zugestellt.😀 Jetzt heißt es warten ... ... ...
Userlevel 7
Badge +6
(imo) Kaspersky hat wie jedes andere Mal (in der Vergangenheit) eine Stellungnahme abgegeben.
Warum sollten sie eine Ausnahme machen, wenn es darum geht, wie sie diese aussagen kommunizieren?
Darüber hinaus haben sie mitgeteilt, dass ein Fix verteilt wurde, und (sie) arbeiten weiter an dem problem.
🤔
Userlevel 1
Hallo,

hier die offizielle Stellungnahme von Kaspersky.

https://www.kaspersky.com/blog/tracking-ids-bug/27979/

Reply / Ответить