Как стать автором
Обновить

Kaspersky следит за вами, за ваши деньги

Время на прочтение 2 мин
Количество просмотров 76K



Детективная история приключилась со мной недавно. Обновил windows 10, следом решил обновить internet security от Касперского. В принципе все работало неплохо, если бы не одно но

По роду деятельности мне приходится частенько ковыряться в верстке и js. Открыв как-то исходную страницу сайта заказчика заметил на нем неустановленный скрипт: ff.kis.scr.kaspersky-labs.com/USER_ID/main.js (спрятал свой юзер id, там длинная строка из символов). Исходный код скрипта залил туда: pastebin.com/rkY42pkf

Данный скрипт переопределяет некоторые элементы страницы, постоянно рефрешится в фоне и делает еще кучу неизвестных вещей, как и нету гарантии в добавлении модулей для слежения за пользователем позднее. Зарубежные покупатели первыми заметили проблему, и создали тему на форуме (http://forum.kaspersky.com/index.php?showtopic=328326), затем инъекция кода была замечена пользователями из СНГ: forum.kaspersky.com/index.php?showtopic=328544 и вебмастерами — forum.kaspersky.com/index.php?showtopic=316482&st=40&p=2445346&#entry2445346

Самое интересное в этой истории это то, что данную инъекцию невозможно отключить. Ни через настройки KIS, ни через удаление плагинов. У меня вообще не было установлено плагинов, но скрипт успешно вставляется и в firefox, и в chrome. Техподдержка заявляет об этом непродуманном решении как о фиче и фиксить не собирается «Добрый день, данный скрипт предоставляет функциональность, реализованную ранее в классических плагинах. Данное поведение не должно приводить к нарушению работы веб-сайтов. Если есть какие-то проблемы, то просим описать конкретные неудобства, предоставить скриншоты.»

Вот таким образом касперский получил доступ ко всем моим действиям в интернете за мои же деньги. Данной проблеме подвержены последние версии KIS 2015 и 2016.
Теги:
Хабы:
+60
Комментарии 71
Комментарии Комментарии 71

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн