ПО от Kaspersky Lab остаётся уязвимым для манипуляций веб-мастеров

27 ноябрь, 2019 - 16:01

ПО от Kaspersky Lab остаётся уязвимым для манипуляций веб-мастеров

Исследователь проблем кибербезопасности Владимир Палант (Wladimir Palant) в этот понедельник рассказал в блоге о серии уязвимостей в компоненте онлайновой защиты, Kaspersky Web Protection, программных продуктов «Лаборатории Касперского», включая Kaspersky Internet Security 2019. Ошибки, обнаруженные им в декабре прошлого года, открывают внутренний прикладной программный интерфейс (API) этих продуктов для манипуляций со стороны вебсайтов.

Функции онлайновой защиты включают в себя сканирование результатов поиска для отсеивания потенциально вредоносных ссылок, блокировки рекламы и предотвращения отслеживания. Web Protection обменивается данными с основным приложением Kaspersky, и «секретная» подпись, которая теоретически должна быть неизвестна веб-доменам, призвана обеспечить безопасность этих коммуникаций. Однако, уязвимость позволяла веб-сайтам «достаточно легко», по словам Паланта, извлекать этот секретный ключ, «устанавливать соединение с приложением Kaspersky и отправлять команды так же, как это проделывает Web Protection».

Специалисты «Лаборатории» устранили ряд указанных недоработок, однако в апдейте Kaspersky Internet Security 2020, вышедшем в июле 2019 года, по словам Паланта, не только всё ещё остаются некоторые из них, но и появились новые.

«Когда я проверял новый Kaspersky Internet Security 2020, извлечение секретного ключа из внедрённых скриптов всё ещё было тривиальным делом, а главной трудностью было адаптировать мой концептуальный код к изменениям к соглашениях о вызовах API, — сообщил Палант в интервью. — Честно говоря, я не могу винить разработчиков Kaspersky в том, что они даже не пытались что-то предпринять, так как считаю, что защита их скриптов в среде, которую они не могут контролировать, это проигрышное дело».

«Лаборатория Касперского» сходу отмела претензии эксперта, ответив в блоге, что уже исправила все ошибки в компоненте веб-защиты своих продуктов и их расширений для Google Chrome. В то же время, компания признала, что: «Даже самые тщательные превентивные меры не могут исключить просачивания мелких ошибок — ни один программный продукт в мире не может полностью избавиться от них на профилактической стадии».

Но даже мелкие ошибки в антивирусном ПО представляют особую опасность, отмечает Крэг Янг (Craig Young) из фирмы Tripwire: «Эти системы — желанная цель для вредоносного использования, потому что они, как правило, имеют максимальные права доступа и смогут обрабатывать опасные входные данные с минимальным вовлечением пользователей».

Новый патч уже разработан и будет доступен 28 ноября, но, учитывая упорное стремление разработчиков внедрять скрипты в веб-страницы, не полагаясь только на расширения браузеров, Палант не надеется, что проблемы будут полностью решены и в этот раз.