Falha deixa API de proteção da Kaspersky exposta para invasores

Siga o Olhar Digital no Google Discover

Na segunda-feira (25), o desenvolvedor de software Wladimir Palant informou vulnerabilidades no sistema da Kaspersky, que deixaram uma API interna aberta. Ele documentou sua investigação de recursos do Kaspersky Web Protection incluídos em diversos softwares da empresa. A funcionalidade da proteção online inclui varreduras de resultados de pesquisa para eliminar links potencialmente maliciosos, bloqueio de anúncios e prevenção de rastreamento. 

Ofertas

Vendido por Amazon

Fone de Ouvido Headphone P47 Sem Fio Bluetooth Wireless Micro Sd 5.0 Dobrável Com Microfone Regulável Para Corrida Academia Escritório Caminhada Linha Premium (Preto)

De: R$ 39,90
Por: R$ 19,90

Vendido por Amazon

Smart TV Multi Roku 32" HD 3 HDMI 2 USB Compatível com Alexa e Google Home - TL052M

De: R$ 1.149,00
Por: R$ 819,00

Vendido por Amazon

Carregador Super Turbo 50W Ultra Rápido Tipo C e USB Com Carregamento Rápido + Cabo Tipo C Compatível Com Todos Os Dispositivos, Android, Ios 15/16, Xiaomi - Todos Dispositivos Celulares

De: R$ 32,90
Por: R$ 22,90

Vendido por Amazon

Placa de Video MSI RTX 5060 Shadow 2X OC, 8GB, GDDR7-912-V537-037

De: R$ 2.920,14
Por: R$ 2.240,00

Vendido por Amazon

Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V

De: R$ 2.499,00
Por: R$ 1.998,89

Vendido por Amazon

Freezer Vertical Consul 231 Litros - CVU26FB 110V

De: R$ 3.279,35
Por: R$ 2.498,89

Vendido por Amazon

WAP Ventilador de Torre AIR SILENCE com 4 Ní­veis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V

De: R$ 599,90
Por: R$ 404,90

Vendido por Amazon

MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W

De: R$ 189,90
Por: R$ 129,90

Vendido por Amazon

Climatizador de Ar Digital Midea 127V 60Hz

De: R$ 529,99
Por: R$ 412,69

Vendido por Amazon

Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm

De: R$ 799,00
Por: R$ 593,00

Vendido por Amazon

Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm

De: R$ 3.799,00
Por: R$ 3.598,94

Vendido por Amazon

Anker MagGo Power Bank, Bateria Magnética Ultra Fina de 10.000mAh, Certificação Qi2, Portátil, Carregador MagSafe Compatível de 15W Ultra Rápido, Compatível com iPhone 17/16/15, Samsung,Xiaomi e Mais

De: R$ 649,00
Por: R$ 469,00

Vendido por Amazon

Notebook Acer Nitro V15 ANV15-41-R4Q9 R77735HS AMD Ryzen 7 32GB 512GB SSD NVIDIA RTX 4050 15.6” FHD LED IPS 165Hz AGPOS

De: R$ 7.799,00
Por: R$ 5.610,00

Vendido por Amazon

Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica

De: R$ 699,00
Por: R$ 499,00

Vendido por Amazon

PlayStation DualSense Controle sem fio – Branco

De: R$ 499,90
Por: R$ 369,00

Vendido por Amazon

Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt

De: R$ 2.489,00
Por: R$ 1.616,02

Vendido por Amazon

MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P

De: R$ 259,90
Por: R$ 179,90

Vendido por Amazon

Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W

De: R$ 3.599,00
Por: R$ 2.759,00

Vendido por Amazon

Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v

De: R$ 299,90
Por: R$ 199,00

Vendido por Amazon

soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável

De: R$ 249,00
Por: R$ 166,19

Vendido por Amazon

Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)

De: R$ 899,90
Por: R$ 399,00

Vendido por Amazon

WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt

De: R$ 229,90
Por: R$ 132,00

Vendido por Amazon

CAMERA INSTAX MINI 12 ROSA GLOSS

De: R$ 649,00
Por: R$ 505,00

No entanto, um erro no sistema de segurança permitiu que sites obtivessem o acesso com “bastante facilidade”, descreveu o desenvolvedor. Assim, eles estabeleciam uma conexão com o aplicativo e enviavam comandos como se fossem o ‘Web Protection”. Como destacou Palant, a ferramenta de proteção precisa se comunicar com o aplicativo Kaspersky principal e um valor de assinatura “secreto”, pois dessa forma garante a comunicação segura.

Vulnerabilidades

As extensões do Chrome e Firefox usam mensagens nativas para recuperar a assinatura, enquanto o Internet Explorer lê injeções de script. Sem uma extensão do navegador, a Kaspersky injeta seus scripts diretamente nas páginas da web, onde foi encontrada a primeira vulnerabilidade, CVE-2019-15685.

“Os sites podem usar essa vulnerabilidade, por exemplo, para desativar silenciosamente a funcionalidade de proteção de bloqueio de anúncios e rastreamento”, explicou o desenvolvedor. “Eles também podiam fazer algumas coisas em que o impacto não era tão óbvio”.

Após o erro ser comunicado, a Kaspersky desenvolveu uma correção em julho de 2019. A empresa  bloqueou o acesso de algumas funcionalidades dos sites em produtos 2020, mas outros comandos ainda podem ser aceitos, como sites da lista de permissões em bloqueadores de anúncios (CVE-2019-15686). Além disso, devido à falha do patch, eles conseguiram acessar os dados de sistema do usuário, incluindo identificadores exclusivos da instalação em um PC (CVE-2019-15687).

“Quando experimentei o novo Kaspersky Internet Security 2020, extrair o segredo dos scripts injetados ainda era trivial e o principal desafio era adaptar meu código de prova de conceito às mudanças na convenção de chamada da API”, afirmou Palant. “Francamente, não posso culpar os desenvolvedores da Kaspersky por nem tentarem – acho que defender seus scripts em um ambiente que eles não podem controlar é uma causa perdida”.

Além do vazamento de dados, Palant informou que o patch também introduziu uma nova vulnerabilidade que poderia ser usada para acionar uma falha no processo antivírus. Isso deixou os sistemas vulneráveis a comprometimentos, rastreados assim como o CVE-2019-15686.

Correções

A empresa de segurança cibernética resolveu o vazamento de dados e corrigiu o problema de falha. Logo, os sites se tornaram incapazes de acionar uma vulnerabilidade, mas as extensões do navegador ou aplicativos locais possivelmente ainda podem. Um novo patch foi desenvolvido e será disponibilizado em 28 de novembro. 

“Talvez a Kaspersky esteja muito apegada aos scripts injetados diretamente nas páginas da web, porque esses são considerados um recurso distintivo de seu produto, podendo fazer seu trabalho mesmo que os usuários se recusem a instalar extensões”, afirmou o desenvolvedor. “Mas esse recurso também é um risco à segurança e não parece ser reparável”, completou. 

Palant não se mostrou esperançoso com as correções e ainda alertou os usuários. “Uma coisa não muda: os sites ainda podem enviar comandos para os aplicativos da Kaspersky. Toda a funcionalidade que eles podem desencadear lá é inofensiva? Eu não apostaria nisso”. 

Um porta-voz da empresa comunicou ao ZD Net que o problema foi corrigido, e pode ser necessária uma reinicialização para aplicar as atualizações recomendadas. “A Kaspersky corrigiu problemas de segurança no componente de proteção da web em seus produtos e extensões para o Google Chrome. Esses problemas de segurança foram corrigidos pelos patches 2019 I, J e 2020 E, F, que foram entregues aos usuários através dos procedimentos de atualização automática”, informou a companhia.

“Para isso, pode ser necessária uma reinicialização para aplicar as atualizações. A empresa também recomenda que os usuários garantam que as extensões de proteção para navegadores estejam instaladas e ativadas”, indicaram. 

Via: ZD NET