Der Analyse zufolge teilt die Antiviren-Software beim Aufrufen einer Internetseite dieser einen individuellen Code mit, egal welchen Webbrowser die Nutzer verwenden. Die Funktion sei wohl dafür zuständig, grüne Schutzschilde hinter Google-Suchtreffern einzublenden, wenn ein Link nach Einschätzung von Kaspersky sauber ist, so Eikenberg. Über diesen Vorgang sei aber jeder Nutzer eindeutig zu identifizieren. „Bisher kannte ich dieses Verhalten nur von Online-Banking-Trojanern“, schreibt der Redakteur. Das bedeute auch, dass jede beliebige Website den von Kaspersky gesetzten Code auslesen und dazu missbrauchen könne, das Verhalten ihrer Besucher nachzuverfolgen.

Kaspersky hat das Leck bestätigt. Laut „c’t“ geht der Hersteller davon aus, dass ein tatsächlicher Missbrauch unwahrscheinlich sei, weil sich eine mögliche Attacke darüber „zu komplex und nicht profitabel genug für Cyberkriminelle“ gestalte. Kaspersky veröffentliche bereits eine Sicherheitsaktualisierung sowie einen Hinweis, in dem das Problem und die Lösung beschrieben werden.

Nach dem Patch schleuse der Kaspersky-Virenschutz jedoch noch immer eine Nutzerkennung ein, heißt es bei der „c‘t“. Diese ID sei zwar nun für alle Anwender gleich, einzelne Besucher könnten damit nicht mehr identifiziert werden. Angreifer könnten auf diesem Weg jedoch immer noch herausfinden, ob ein Nutzer Kaspersky-Software auf seinem Rechner installiert hat und wie alt diese ungefähr ist. Diese Information könne genutzt werden, um einen auf das Schutzprogramm zugeschnittenen Schädling einzuschleusen. Wer auf Nummer sicher gehen wolle, müsse die verantwortlichen Funktionen in den Einstellungen der Kaspersky-Software deaktivieren, empfiehlt das Fachmagazin. Dort könnten Nutzer der Anwendung untersagen, ein „Skript für die Interaktion mit Webseiten in den Datenverkehr“ einzubinden.