年来，卡巴斯基反病毒软件一直在各项安全测试中名列前茅。然而近日曝出的数据泄露事件，竟使得第三方能够长期监视用户的网络活动。德国网站 Heise.de 编辑 Ronald Eikenberg 指出，在其办公室电脑上的一个奇怪发现，让他知晓卡巴斯基反病毒软件造成了惊人的数据泄露。

（题图 via Heise.de）

作为 c't issue 3 / 2019 测试第一部分，小编会定期对反病毒软件进行测试，以观察其是否履行了企业所声称的安全承诺。

在刚开始的几周和几个月，事情似乎波澜不惊 —— 卡巴斯基软件的表现，与 WindowsDefender 基本相同或差强人意。

然而忽然有一天，Ronald Eikenberg 在查看了任意网站的 HTML 源码后发现，卡巴斯基竟然为其注入了如下代码：

显然，浏览器正在加载来自 Kaspersky 域、名为 main.js 的外部 JavaScript脚本。尽管 JS 代码并不罕见，但当深入查看浏览器中显示的其它网站的 HTML 源码时，几乎都有同样奇怪的发现。

毫无意外的是，Ronald Eikenberg 竟然在个人网银网站上，也查看到了来自卡巴斯基的脚本。因此其断定 —— 这件事可能与卡巴斯基软件有些关联。

为了验证，Ronald Eikenberg 尝试了 Mozilla Firefox、Microsoft Edge、以及 Opera 浏览器，结果发现相同的代码随处可见。

鉴于没有安装可疑的浏览器扩展程序，他只能简单理解为是卡巴斯基反病毒软件在操纵当前的网络流量 —— 在未获得用户许可的情况下，卡巴斯基僭越了！

在此事曝光前，许多人可能只会在网银木马类恶意软件上观察到这种行为，以图窃取或篡改关键信息（比如悄悄地变更了网银转账的收款方）。现在的问题是 —— 卡巴斯基你到底在干嘛呢？！

经过对 main.js 脚本展开的一番分析，可知卡巴斯基会在判别某个‘干净’网站链接后，在地址栏显示带有谷歌搜索结果的绿色图标。

然而还有一个小细节 —— 加载卡巴斯基脚本的地址，也包含了一段可疑的字符串：

https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js

链接加粗部分，显然属于某种“通用唯一标识符”（UUID）。但是作为一款计算机安全软件，卡巴斯基要拿这串字符去识别或追踪谁呢？

扩展扩展验证，Ronald Eikenberg 在其它计算机上也安装了卡巴斯基软件，发现它确实会向其它系统同样注入 JavaScript 代码、并且留意到了一个至关重要的区别。

源地址中的 UUID，在每台系统上都是不一样的。这些 ID 属于持久性的标识，即便过了几天也不会发生改变。显然，每台计算机都会拥有自己的永久分配 ID 。

而将这串 UUID 直接注入每个网站的 HTML 源码，绝对是一个糟糕头顶的主意。因为在网站域上下文环境中运行的其它脚本，都可以随时访问整个 HTML 源，甚至读取卡巴斯基这串 UUID 。

这意味着任何网站都可以读取并追踪卡巴斯基软件用户的网络 ID，只要另一个网站检测到了同一字符串，就能认定其访问源来自同一台计算机。

基于这种假设，卡巴斯基显然是打造了一套危险的追踪机制，甚至比传统的 cookie 更加极端 —— 就算你切换了浏览器，也会被追踪并识别到在使用同一台设备、让浏览器的隐身模式形同虚设。

为避免更多用户陷入风险，c't 决定立即向卡巴斯基通报这一发现、并且迅速得到了对方的答复，称其已着手调查此事。

大约两周后，卡巴斯基莫斯科总部对这一案例进行了分析，并证实了 c't 的这一发现。

该问题影响所有使用 Windows 版卡巴斯基安全软件的消费者版本，从入门机的免费版、互联网安全套装（KIS）、直至全面防护版（Total Security）。

此外，卡巴斯基小企业安全版（Small OfficeSecurity）也受到了该问题的影响，导致数百万用户暴露于风险之中。

Heise.de 调查显示，卡巴斯基从 2015 年秋发布的“2016”系列版本中引入了该漏洞。但既然普通网友都能在无意间发现这个漏洞，包括营销机构在内的第三方，也极有可能早就展开了野外利用。

即便如此，卡巴斯基仍表示这种攻击过于复杂，因此发生的概率极低，对网络犯罪分子来说有些无利可图。

然而 Heise.de 并不赞同该公司的说法，毕竟许多企业都在努力监视每一位网站来访者，这个持续四年的漏洞，很有可能是其展开间谍活动的一个福音。

万幸的是，在认识到事情的严重性之后，卡巴斯基终于听从了爆料者的要求，在上月发布了 CVE-2019-8286 安全公告，且相关补丁也已经打上。

当然，为了安全起见，您也可禁用卡巴斯基软件中提供的相关功能：

点击主窗口左下角的齿轮（设置）图标 -> 点击‘其它 / 网络’-> 然后取消‘流量处理’下的‘将脚本注入 Web 流量以与网页交互’选项。

find /var/html/www/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum

tree /var/html/www/ -d >/tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum

--- 增加如下内容 ---
set from=yourname@your-domain.com
set smtp=mail.your-domain.com
set smtp-auth-user=yourname
set smtp-auth-password=yourpasswd
set smtp-auth=login

#!/bin/bash
#############################################################
# File Name: web_file_check.sh
# 前提： yum install -y tree
#############################################################
​
Dir=/tmp/check/
Web_Dir=/tmp/html/
Check_File1=/tmp/check/web_file_check.md5sum
Check_File2=/tmp/check/web_dir_check.md5sum
Check_Dir=/tmp/check/web_dir_check.txt
Check_Out=/tmp/check/check_out.md5sum
Mail_info=/tmp/check/mail.txt
​
Date=`date +%F_%T`
Host_Name=`hostname`
Host_IP=`hostname -I`
Email_Addr=huangwb@fslgz.com
​
echo "=========================inital============================"
[ -d $Dir ] || mkdir -p $Dir
if [ ! -f $Check_File1 ] 
 then 
 find /tmp/html/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum
elif [ ! -f $Check_File2 ]
 then 
 tree /tmp/html/ -d >/tmp/check/web_dir_check.txt
 md5sum /tmp/check/web_dir_check.txt
 md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum
fi
​
echo "========================check_out============================"
md5sum -c $Check_File1 >$Check_Out 2>/dev/null
Back_num1=$?
tree -d $Web_Dir >$Check_Dir
md5sum -c $Check_File2 &>/dev/null
Back_num2=$?
​
echo "======================开始校验并触发告警====================="
if [ $Back_num1 -ne 0 ]
 then
 echo "发生主机：$Host_Name 主机IP地址：$Host_IP" > $Mail_info
 echo "在 $Date 的检测中发现以下文件被篡改" >>$Mail_info
 echo "==================================================" >>$Mail_info 
 egrep -i "失败|failed" $Check_Out >>$Mail_info
 echo "==================================================" >>$Mail_info 
 echo "请尽快登陆服务器进行处理！！！" >>$Mail_info
 
 mail -s "【警告】web站点文件被篡改" -a $Check_File1 $Email_Addr <$Mail_info
fi
​
if [ $Back_num2 -ne 0 ]
 then
 echo "目录检测信息" >$Mail_info
 echo "在 $Date 的检测中发现目录被篡改" >>$Mail_info
 mail -s "【警告】web站点目录被篡改" -a $Check_Dir $Email_Addr<$Check_Dir
fi
​

日，Akamai安全情报小组的研究人员发现黑客“创造性“地篡改电商网站的404页面来窃取用户的信用卡信息。（研究人员还发现另外一种攻击手法：将代码隐藏在HTML图像标签的“onerror”属性和图像二进制文件中，使其显示为Meta Pixel代码片段。）

Akamai表示，此类Magecart盗卡活动主要针对使用Magento和WooCommerce的电商网站，一些食品和零售行业的知名品牌受到影响。

Akamai在报告中指出：“Magecart攻击者利用默认的404错误页面来隐藏和加载恶意卡窃取代码，这在之前的活动中从未见过。这种隐藏技术具有高度创新性，我们在之前的Magecart活动中从未见过。“

研究者发现，伪装成元像素代码片段或者隐藏在受感染结账页面上的浏览器加载程序会向名为“icons”的相对路径发起获取请求，但由于网站上不存在该路径，因此该请求会导致“404NotFound”错误页面。

该加载程序包含一个正则表达式匹配，用于在404页面返回的HTML中搜索特定字符串，研究人员对该字符串解码发现了一个隐藏在所有404页面中的JavaScript浏览器（下图）：

研究者指出，篡改404页面的方法有助于逃避网络流量监控工具的检测，因为该请求看起来像是良性的图像获取事件。然而，解码Base64字符串会泄露个人和信用卡信息。

篡改404页面的案例也凸显了信用卡盗窃攻击不断变化的策略和攻击手段，网站管理员越来越难以在受感染的网站上找到恶意代码并对其进行清理。

参考链接：

https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer