Kaspersky ürünlerindeki bir hatanın gözetleme için kullanılabileceğini duydum. Doğru mu?

Ağustos 21, 2019

Kaspersky’nin müşterilerini gözetlediğine veya başkalarının gözetlemesine yardımcı olduğuna dair söylentiler duymuş olabilirsiniz. Bu iddiaların bazılarına halihazırda cevap verdik, fakat son günlerde Kaspersky’nin kullanıcıları siteler arası takibe maruz bıraktığına dair yeni söylentiler çıktı. Bu kısa gönderide bu söylentiyi ele alacağız.

Ne oldu?

c’t dergisinden Ronald Eikenberg adlı bir gazeteci, kullanıcılar internet sitelerini ziyaret ederken Kaspersky tüketici ürünlerinin komutlarda özel kimlik tanıtıcıları kullandığını ve bunların kullanıcı kimliklerini tespit etmek için kullanılabileceğini yazdı.

(CVE-2019-8286 adıyla anılan) bu problem; Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 ve Kaspersky Free Antivirus 2019 ürünlerinin yanı sıra bu yazılım paketlerinin önceki sürümlerini de etkiliyordu. Eikenberg bizimle iletişime geçti; biz de problemin çözülmesini sağladık. Etkilenen tüm ürünlere yönelik yamalar Haziran ayında yayınlandı ve çok sayıda kullanıcı çoktan ürünü güncelledi.

Sorun neydi?

Kaspersky tüketici ürünü kullanıcılarının yüklediği her sayfaya, diğer bilgilerin yanı sıra kullanıcıya özgü 32 karakterlik bir kod içeren bir komut eklenir ve bu kod, aynı kullanıcı için tüm diğer Web sayfalarında da aynı kalır.

Bu durum, bu sayfaları barındıran sitelerin sahiplerine belirli bir Kaspersky ürünü kullanıcısının diğer sitelerini de ziyaret edip etmediğini ya da aynı siteye geri dönüp dönmediğini takip etme olanağı yaratabilir. Öte yandan böyle bir takibin işleyebilmesi için siteler arası bir bilgi alışverişi olması gerekir; bu durumda takip, gizli moddayken bile işler.

Sorun giderildi mi?

Evet, 7 Haziran 2019’da bu sorunu gideren bir yama yayınladık. Yama, etkilenen ürünlerin tüm kullanıcılarına iletildi. Yani düzeltmeyi uygulamak için hiçbir şey yapmanıza gerek yok. Bu tarihten itibaren bilgisayarınız internete bağlandıysa ve ürünün güncellenmesine izin verdiyseniz yama zaten yüklenmiştir.

Güncelenen tüm Kaspersky ürünleri, bütün kullanıcılara aynı kimlik tanıtıcı setini veriyor. Böylece yalnızca kullanılan ürün türü anlaşılabiliyor (ister Kaspersky Anti-Virus, ister Kaspersky Internet Security ya da başka bir ürün olsun). Bu kimlik tanıtıcılar kişiye özgü değil; dolayısıyla takip için kullanılamıyorlar.

Bu sorun neden yaşandı?

Kaspersky ürünleri, web sayfaları çalışmaya başlamadan önce potansiyel kötü amaçlı komutları tespit edebilmek için yüklendiği sırada sayfaya bir JavaScript kodu ekler. Bu özellik, Kaspersky ürünlerine özgü değildir; web antivirüs programları genel olarak böyle çalışır. Bizim JavaScript kodumuz da önceden kişiye özgü olup artık her kullanıcıda aynı olacak şekilde değiştirilen bu kimlik tanıtıcıyı içeriyordu.

Peki bu neden büyük bir mesele değil?

Medya bazen dikkat çekmek için sorunları olduğundan büyük gösterir. Bu olayda da aynısı yaşandı. Teorik olarak bu sorun, gerçekten de potansiyel bazı sonuçlar doğurabilirdi. Doğurabileceği sonuçlardan üçünü şöyle sıralayabiliriz:

Birincisini yukarıda anlattık: Pazarlamacılar teorik olarak bu kimlikleri web sitelerini ziyaret eden kişileri hedef almak için kullanabilirdi. Bununla birlikte, oluşturabilecekleri profiller oldukça zayıf olurdu. Kullanıcıları takip etmek için Facebook’un veya Google’ın sistemleri gibi gerçek reklam sistemlerine bel bağlamak çok daha kolay. Üstelik bu sistemler pazarlamacıya kullanıcı hakkında daha fazla bilgi sağlıyor. Web sitesi sahiplerinin çoğu da bunu yapıyor. Dolayısıyla bu amaçla güvenlik çözümlerinin kimlik tanıtıcılarını kullanmanın bir anlamı yok.

İkinci olası sonuç, kötü amaçlı birilerinin bu adresleri toplayarak yalnızca Kaspersky ürünü kullanıcılarını hedef alan kötü amaçlı yazılımlar oluşturması ve bunları bu kişiler arasında yayması olurdu. Bu, kullanıcı tarafında Web sayfası kodunu değiştiren her program için geçerli. Senaryo çok akla yatkın değil; saldırganın yalnızca böyle bir kötü amaçlı yazılım yaratması yeterli olmazdı, aynı zamanda hedefine iletmeli ve çalıştırmalıydı. Bu da kullanıcıyı kötü amaçlı bir web sitesine çekmesini gerektirirdi. Ancak kimlik avı önleme ve web antivirüs yazılımlarımız kullanıcıları kötü amaçlı sitelerden zaten uzak tutuyor.

Üçüncüsü: Web sitesi ziyaretçilerinin veri tabanı, kimlik avı için kullanılabilirdi. Ortaya çıkabilecek en olası sonuç bu. Öte yandan bu, kötü amaçlı kişi için pek de iyi bir seçim olmazdı. Herkese açık bilgileri veya en son veri sızıntılarını kullanmak çok daha kolay olurdu.

Sonuçta hiç kimse bu özel kimlikleri kötüye kullanan herhangi bir kötü amaçlı aktivite gözlemlemedi. Artık sorun da çözüldüğüne göre, kötü amaçlı kişilerin bunlardan faydalanabilmesi için çok geç.

Yani, evet, “Kaspersky gözetlemeye izin veriyor,” çok abartılmış bir ifade. Üçüncü taraflardan çok düşük bir takip olasılığına çok sınırlı ölçüde imkan sağlayabilecek bir hata vardı, fakat şu anda giderilmiş durumda.

Ben ne yapmalıyım?

Çözümü uygulamak, güvenlik çözümünüzün kendisini güncellemesine izin vermek kadar kolay. Bunu zaten olağan olarak öneriyoruz.

  • Kaspersky güvenlik çözümünüzün güncellenmiş olup olmadığını kontrol edin. Büyük olasılıkla güncellenmiştir, fakat güncellenmediyse optimum koruma sağlamak için güncellemenizi öneriyoruz. Ürünü güncellemek için, sistem çubuğundaki simgesine tıklayın ve menüden Güncelle seçeneğini seçin. Kaspersky 2020 kullanıcıları da aynısını yapmalı; ilk sürümler, sorunu gidermek için yamaya ihtiyaç duyuyor.
  • Yine de web sitelerinin bir Kaspersky çözümü kullandığınızı öğrenmesinden endişe ediyorsanız komut ekleme özelliğini devre dışı bırakın. Bunun için Ayarlar – Ek – Ağ ayarlarına girin. Trafik işleme altında yer alan web sayfalarıyla etkileşim için web trafiğine komut ekle seçeneğindeki işareti kaldırın. Öte yandan, bunu yaptığınızda güvenlik düzeyinizin düşeceğini ve bunu önermediğimizi aklınızdan çıkarmayın.