Somos desenvolvedores de software -isso significa que somos humanos (até agora). E os humanos cometemos erros. É por isso que você não encontrará um desenvolvedor de software no mundo cujos produtos não apresentem falhas ou erros. Simplificando: bugs acontecem. Isso é normal.
Procura-se caçadores de bugs
O que não é normal é não tentar encontrar e corrigir esses bugs. Por isso, na Kaspersky, nos esforçamos o máximo possível. Eliminamos a maior parte das vulnerabilidades em nossos produtos durante vários estágios dos testes internos e temos um programa de testes beta muito completo que envolve várias pessoas (incluindo o nosso dedicado Kaspersky Club). Também implementamos o ciclo de desenvolvimento seguro. Tudo isso nos ajuda a minimizar o número de bugs e vulnerabilidades.
No entanto, não importa quão completas sejam as medidas preventivas, pequenos bugs conseguem se infiltrar. É por isso que não apenas continuamos monitorando-os atentamente após nossos lançamentos, mas também incentivamos pesquisadores independentes a descobri-los e reportá-los. Isso inclui a criação de nosso programa de recompensas para quem encontra bugs , que oferece recompensa de até US$ 100 mil por relatar bugs; e o estabelecimento de um porto seguro para pesquisadores no Disclose.io. Convidamos todos os pesquisadores, usando qualquer canal de comunicação, a divulgar para nós quaisquer falhas que encontrarem.
Hoje, agradecemos a Wladimir Palant, pesquisador de segurança independente, que nos informou sobre várias vulnerabilidades em alguns de nossos produtos.
Encontrado e corrigido
Para fornecer uma conexão segura à Internet, incluindo o bloqueio de anúncios e rastreadores (além de aviso sobre resultados de pesquisa maliciosos), usamos uma extensão do navegador. Obviamente, você pode se recusar a instalar esta (ou qualquer) extensão. Nosso aplicativo não deixa você sem proteção na Internet; portanto, se detectar que a extensão não está instalada, injeta scripts nas páginas Web que você visita para monitorar possíveis ameaças. Nesses casos, um canal de comunicação é estabelecido entre o script e o corpo da solução de segurança.
A maior parte das vulnerabilidades que Palant descobriu estavam neste meio de comunicação. Em teoria, se um hacker atacasse esse canal, ele poderia ser usado para comandar o aplicativo principal. Palant descobriu o problema que afetava o Kaspersky Internet Security 2019 em dezembro de 2018 e o relatou por meio do programa de recompensas por bugs. Começamos a trabalhar no problema imediatamente.
Outra das descobertas de Palant foi uma possível exploração usando o canal de comunicação entre a extensão do navegador e o produto, por exemplo, para acessar dados importantes, como ID, versão do produto e versão do sistema operacional. Consertamos isso também.
Por fim, Ronald Eikenberg, da revista c’t, descobriu uma vulnerabilidade que divulgou IDs exclusivos para sites visitados por usuários de produtos Kaspersky. Corrigimos em julho e, em agosto, o patch chegou a todos os usuários. Mais tarde, Palant encontrou outra vulnerabilidade desse tipo, corrigida em novembro de 2019.
Por que usar essa tecnologia
Usar scripts como os descritos acima não é uma prática incomum no mundo dos antivírus; no entanto, nem todos os fornecedores os utilizam. Quanto a nós, usamos a tecnologia de injeção apenas se você não ativar a extensão do navegador -recomendamos usá-la. No entanto, mesmo que você decida não, fazemos o possível para fornecer boa experiência e proteção ao usuário.
Os scripts são usados principalmente para aprimorar a experiência do usuário – por exemplo, ajudam a bloquear banners – mas, além disso, protegem os usuários contra ataques com páginas web dinâmicas, que não podem ser detectadas se a extensão do Kaspersky Protection estiver desativada. Além disso, componentes como antiphishing e controle dos pais dependem dos scripts para funcionar.
Graças a Wladimir Palant, conseguimos melhorar significativamente a proteção do canal de comunicação entre os scripts ou o plug-in e o aplicativo principal.
Construindo juntos
As vulnerabilidades descobertas foram resolvidas e a superfície de ataque foi significativamente reduzida. Nossos produtos são seguros, independentemente de você os usar com ou sem a extensão do navegador Kaspersky Protection.
Queremos agradecer a todos que nos ajudam a encontrar bugs em nossos produtos. Em parte devido a seus esforços, nossas soluções continuam a ser as melhores, conforme comprovado por diferentes laboratórios de teste independentes. Convidamos os pesquisadores de segurança a participar de nosso programa de recompensas por bugs.
Nada é absolutamente seguro. No entanto, trabalhando em conjunto com pesquisadores de segurança, corrigindo vulnerabilidades o mais rápido possível e melhorando constantemente nossas tecnologias, podemos oferecer a nossos usuários a mais forte proteção existente contra todas as ameaças possíveis.