В защитном ПО «Лаборатории Касперского» найдена уязвимость, которая позволяет отслеживать пользователя в интернете. На нее обратил внимание исследователь Рональд Эйкенберг, сотрудник немецкого издания c't. Уязвимости был присвоен номер CVE-2019-8286.
В целях обнаружения вредоносной активности на посещаемых сайтах, ПО «Лаборатории» осуществляет инъекцию кода Javascript в интернет-браузер. Код дает возможность понять, является ли тот или иной сайт безопасным.
Проблема в том, что этот же код присваивает устройству уникальный идентификатор, который может быть считан любым сайтом и использован для слежки за пользователем в интернете. Когда пользователь повторно посещает один и тот же сайт, или заходит на другой сайт того же оператора, эти ресурсы видят, что это одно и то же устройство. Режим «Инкогнито» не помогает, пишет Эйкенберг, и от того, какой именно браузер используется, тоже ничего не зависит.
Однако «Лаборатория» полагает, что уязвимость не представляет собой значительный угрозы. Согласно заявлению компании, она исследовала проблему и пришла к выводу, что такой сценарий нарушения приватности теоретически возможен, но вряд ли использовался на практике в связи со сложностью реализации и невысокой полезностью для преступников.