德国电脑杂志c't本周披露，Winodws版的卡巴斯基（Kaspersky）防毒软件暗藏隐私漏洞，可供网站追踪用户行为。

　　该杂志定期会测试不同的防毒软件产品，一名安装了卡巴斯基防毒软件的编辑Ronald Eikenberg，意外在某个所造访网站的源代码中，看到来自卡巴斯基的JavaScript脚本程序，检验后发现它是卡巴斯基赋予每台电脑的ID。

　　于是只要是安装了卡巴斯基的防毒软件，不管是以Firefox、Edge或Opera浏览器造访任何网站，这些网站都会被注入含有同样ID的JavaScript。而且当Eikenberg以其它安装了卡巴斯基防毒软件的电脑造访网站时，所呈现的ID便不同。

　　Eikenberg把它称为Kaspersky ID，意谓着它是由卡巴斯基赋予每一台用户电脑的身分，只要能读取Kaspersky ID的网站，就能利用该ID来追踪使用者行为，可得知该名使用者是否曾造访过该站，不管是哪一家浏览器，即使是启用无痕模式，都难逃被追踪，有机会遭到行销人员或黑客的滥用。

　　此一隐私漏洞，影响卡巴斯基自2015年秋天发表的所有消费者版本的Windows防毒软件，从免费版到Kaspersky Internet Security与Total Security，也波及Small Office Security，估计影响数百万名卡巴斯基用户。

　　卡巴斯基在收到Eikenberg的通知之后，承认此一问题的存在，但指出相关攻击太过复杂且无利可图，不过Eikenberg却认为这是个严重的漏洞，若黑客或行销人员在4年前漏洞现身时，就打造一个网站来搜集Kaspersky ID，现在应已具备强大的监控能力。

　　总之，卡巴斯基在Eikenberg的督促下分配了CVE-2019-8286编号予该漏洞，并于今年7月修补。

　　Eikenberg在卡巴斯基修补之后再度进行测试，发现卡巴斯基把原本每一台电脑都具备的ID改成产品ID，例如使用特定防毒软件版本的用户，都具备同样的ID，使网站无法再辨识个别的用户。但Eikenberg觉得这还是有危险性存在，例如黑客就能藉由判断防毒软件版本来客制化攻击模式，亦再度向卡巴斯基提报漏洞。

　　不过，使用者也可在卡巴斯基防毒软件的流量处理设定中，关闭「Inject script into web traffic to interact with web pages」功能，即能避免让网站存取相关ID。