Trong kỷ nguyên số, phần lớn các công ty tiếp thị, quảng cáo và phân tích thị trường đều theo dõi người dùng trên Internet nhằm tìm hiểu sở thích người dùng, từ đó cung cấp quảng cáo đến đúng mục tiêu. Hầu hết các giải pháp này dựa vào cookie của bên thứ 3 - cookie được đặt trên một tên miền khác với tên miền người dùng đang duyệt, cho phép các công ty như Google và Facebook định danh người dùng để theo dõi mọi di chuyển của người dùng trên các trang web khác nhau.

Tuy nhiên, lỗ hổng trong phần mềm bảo mật Kaspersky Antivirus đã lộ lọt thông tin nhận dạng người dùng được liên kết với mọi trang web mà người dùng truy cập trong 4 năm qua. Điều này có thể cho phép các trang web đó và các dịch vụ bên thứ ba khác theo dõi người dùng trên web ngay cả khi đã chặn hoặc xóa cookie của bên thứ ba.

Lỗ hổng có định danh CVE-2019-8286 và được phát hiện bởi nhà nghiên cứu bảo mật độc lập Ronald Eikenberg. Lỗ hổng nằm trong phương thức hoạt động của một mô-đun quét URL được tích hợp vào phần mềm antivirus, được gọi là Kaspersky URL Advisor.

Theo mặc định, giải pháp bảo mật của Kaspersky Internet chèn trực tiếp tệp JavaScript được lưu trữ từ xa vào mã HTML của mọi trang web người dùng truy cập, trên tất cả các trình duyệt web ngay cả trong chế độ ẩn danh. Hành động này là để kiểm tra xem trang đó có trong danh sách các địa chỉ web đáng ngờ và lừa đảo không.

Hầu hết các giải pháp bảo mật Internet đều hoạt động theo cách này để giám sát các trang web xem có nội dung độc hại hay không. Tuy nhiên, Eikenberg nhận thấy rằng, URL của tệp JavaScript này chứa một chuỗi ký tự duy nhất ứng với mỗi người dùng Kaspersky - một loại mã định danh phổ quát duy nhất (universally unique identifier - UUID), có thể dễ dàng bị các trang web, dịch vụ phân tích và quảng cáo của bên thứ ba lấy được, từ đó quyền riêng tư của người dùng có nguy cơ bị xâm phạm.

Theo nhà nghiên cứu, đây không phải là phương thức bảo mật tốt vì các tập lệnh khác thực thi trong ngữ cảnh của tên miền trang web có thể truy cập mã HTML bất cứ lúc nào. Điều này có nghĩa là bất kỳ trang web nào cũng có thể đọc được ID Kaspersky của người dùng và sử dụng nó để theo dõi. ID này không thay đổi sau vài ngày, cho thấy mã này có thể được gán vĩnh viễn cho một máy tính cụ thể.

Eikenberg đã báo cáo phát hiện của mình tới Kaspersky. Hãng đã công nhận lỗ hổng này và xử lý bằng cách gán một giá trị không đổi (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) cho tất cả người dùng thay vì sử dụng UUID trong URL JavaScript. Lỗ hổng này được xếp vào nhóm lộ lọt dữ liệu người dùng. Tin tặc phải chuẩn bị và triển khai một mã lệnh độc hại trên các máy chủ web mà từ đó sẽ theo dõi người dùng.

Tuy nhiên, tính năng Kaspersky URL Advisor vẫn cho phép các trang web và dịch vụ của bên thứ ba tìm hiểu liệu khách truy cập có cài đặt phần mềm Kaspersky trên hệ thống của mình hay không. Nhà nghiên cứu cho rằng điều này có thể bị lạm dụng bởi kẻ lừa đảo và tội phạm mạng một cách gián tiếp.

Eikenberg cảnh báo, tin tặc có thể sử dụng thông tin này để gửi mã độc tương ứng với phần mềm bảo mật hoặc chuyển hướng nó đến một trang lừa đảo tương ứng, với thông báo như: “Giấy phép Kaspersky của bạn đã hết hạn. Vui lòng nhập số thẻ tín dụng của bạn để gia hạn đăng ký”.

Các phiên bản cập nhật của các sản phẩm Kaspersky bao gồm Antivirus, Internet Security, Total Security, Free Antivirus và Small Office Security đã được gửi tới những người dùng bị ảnh hưởng. Tuy nhiên, nếu muốn tắt hẳn tính năng có thể cho phép theo dõi này, thì người dùng có thể vào Settings → Additional → Network và bỏ chọn hộp Traffic processing như hình dưới đây.