Kaspersky の埋め込みスクリプトの動作を解析してみた
悪名高い『かす』ペルスキー2016のDoS攻撃埋め込みスクリプトを無効にしてみた
脳脂肪のパクリメモ
先日、こんな記事を書いたのですが、実際に害があるか検証してみました。
埋め込みコードのアドレスは
http://ie.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js
http://me.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js
http://gc.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js
http://ff.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js
なのですが IPアドレスは 185.85.13.154 と 127.245.107.154 が使われます。
同じアドレスに https でもアクセスできることに気付いたので証明書を見てみました。
プライベート接続?
どういうことなの?
とりあえず証明書見てみたら2/2、再インストールした日じゃないか
もしかして自己証明書?
自己証明書でした。
しかも、前インストールしたときのが残ってる
アンインストールしたらちゃんと消せよ(笑)
プライベート接続なら、ネットワークつながってなくてもアクセスできるのでは?
と思ったけど、アドレスそのままだと DNSエラーに阻まれてエラーになってしまう。
オフラインなのに行けた。
確かにローカルな模様。
でも、IPを127.0.0.1 にするとSSL接続はできない
HTTPだと なぜか、80番ポート以外にも445 でも行けた。意味不明!
どういうことかというと
*.kis.scr.kaspersky-labs.com を HOSTSで127.0.0.1 にしても、最初からそういう動作をしているので意味がないということになる。
Script の動作も検証してみたところ確かに 500ミリ秒ごとにOnPingというメソッドが呼ばれている。
が、同じPC内の カスペルスキーが受信し、処理してる模様。
PC内で情報収集して、その結果をまとめた後で、送信していると考えると合理的かもしれない。
インストールするとカスペルスキーのサーバーに0.5秒単位でDoS攻撃するというのは、だから誤り。
ローカルとはいえ、 0.5秒単位で100kほどのScriptを自分自身で送受信するので、スペックの低いPCだと多少負荷が気になるかもしれませんね。
懸念事項
・アンインストールしても、自己証明書を消してくれない。
・自己証明書、インストール時に生成するみたいなので、証明書のパスワード、ハードコーディングしてあるんでは?
・低スペックマシンにはやっぱり負担かもしれない。
・カスペルスキーをアンインストールした後、サイトにアクセスするとキャッシュが残ってるので実際に、
*.kis.scr.kaspersky-labs.com にアクセスしてしまうかもしれない。
・アクセスしたサイトや滞在時間など。収集した情報をどういう管理で送信しているのかが全く分からない。
自己証明書がインストールし直すたびに増えていって、アンインストールツールを使ってカスペルスキーを削除しても自己証明書が残ったままになるのは2015でも確認しています。
2015は、Firefoxに自分でその証明書を信用する設定にしないとHTTPSのサイトが利用できなかったんですが、2016では少なくともそれは解消しています。