Beveiligingsspecialist Kaspersky heeft tot afgelopen juni unieke identificatiecodes gegeven aan computers waarop zijn antivirussoftware was geïnstalleerd. De codes werden toegevoegd aan de html van webpagina's die de computergebruiker bezocht. Hierdoor konden paginabeheerders bezoekers zonder toestemming identificeren, zelfs in incognito-modus. Dat schrijft de Duitse techsite c't.
De antivirussoftware voegde de identificatiecode telkens via javascript toe aan de html van webpagina’s. De code is uniek voor elke computer en verandert niet als je een andere browser gebruikt. Als je meerdere websites van dezelfde eigenaar bezoekt, kan deze organisatie dit dus eenvoudig achterhalen en bijvoorbeeld misbruiken voor gepersonaliseerde meldingen. De code is daarmee vergelijkbaar met tracking cookies, waarvoor je als online bezoeker expliciet toestemming moet geven.
Een journalist van c’t kwam er bij toeval achter toen hij het antivirusprogramma wilde testen voor een publicatie. Hij ontdekte de javascript en de onveranderlijke id-code die Kaspersky had toegevoegd aan de broncode van een website.
Ook kleinzakelijk
Na vergelijking met eerdere versies van de software blijkt dat de unieke id-code al sinds eind 2015 wordt toegevoegd aan de html van websites. In oktober van dat jaar verscheen de 2016-editie van de software.
Het zijn vooral de gratis en betaalde consumentenversies van Kaspersky’s antivirussoftware die werkten met de unieke identificatiecode. Ook de versie voor kleinzakelijke gebruikers werkte ermee. Deze versie heet Kaspersky Small Office Security.
Gepatcht
In een bericht erkent Kaspersky dat het euvel kon worden misbruikt door onbevoegden. ‘De aanvaller moet vanaf webservers een kwaadaardig script voorbereiden en uitvoeren om de gebruiker te kunnen volgen.’
De fabrikant heeft de betreffende software afgelopen juni gepatcht. In de meeste gevallen wordt de update automatisch uitgevoerd.