#3343 Password. My Kaspersky
-
Accepted
Шаги воспроизведения:
- Скачать и установить Kaspersky Internet Security MR4
- Создаем пароль на настройки антивируса.
- Подключаем приложение к My Kaspersky под одним аккаунтом
- Отключаем приложение от My Kaspersky (пароль от настроек не запрашивается)
- Подключаем приложение к другому аккаунту My Kaspersky и через портал можем отключать компоненты защиты антивируса без запроса какого-либо пароля.
Актуальный результат:
Пароль от настроек антивируса обходится с помощью другого аккаунта My Kaspersky
Ожидаемый результат:
При попытке отключить программу от My Kaspersky будет запрошен пароль от настроек антивируса.
System Settings
Operating system: Win 10, x64
System: i5-8300H, 16 ГБ, 120 ГБ
Product: KIS
Product Version: 21.4.8.292
Language: ru-RU
Product Logs: https://cloud.qainfo.ru/s/kZhBkbQfFFoz8vo
-
-
@dmitriy-pisarets, добрый день,то есть другие продукты остаются уязвимы намерено?
-
@angeldragon, просто данный сценарий не считается уязвимостью.
-
@dmitriy-pisarets но он есть и им могут воспользоваться, даже удаленно и запустить вредоносное ПО, например, шифровальщик.
-
@angeldragon, могу переформатировать в предложение "добавить в другие продукты", но ничего гарантировать вам не могу.
-
@dmitriy-pisarets данный способ обхода был опубликован на оф. форуме и на нескольких других форумах, поэтому и завел багу.
-
@angeldragon, есть несколько сценариев, когда имея полный доступ к ПК и продукту c паролем, продукт можно удалить вообще. Но тут момент: смысл защиты - сделать так, чтобы никто не получил этот полный доступ. Сможем ли мы перекрыть 100% сценариев, когда зловред/злоумышленник с админскими правами безраздельно управляет ПК и продуктом, и как это повлияет на юзабилити?
P.S. я ошибся ранее - защита работает не в KSC, а в KSOS.
-