#3343 Password. My Kaspersky
-
Accepted
Шаги воспроизведения:
- Скачать и установить Kaspersky Internet Security MR4
- Создаем пароль на настройки антивируса.
- Подключаем приложение к My Kaspersky под одним аккаунтом
- Отключаем приложение от My Kaspersky (пароль от настроек не запрашивается)
- Подключаем приложение к другому аккаунту My Kaspersky и через портал можем отключать компоненты защиты антивируса без запроса какого-либо пароля.
Актуальный результат:
Пароль от настроек антивируса обходится с помощью другого аккаунта My Kaspersky
Ожидаемый результат:
При попытке отключить программу от My Kaspersky будет запрошен пароль от настроек антивируса.
System Settings
Operating system: Win 10, x64
System: i5-8300H, 16 ГБ, 120 ГБ
Product: KIS
Product Version: 21.4.8.292
Language: ru-RU
Product Logs: https://cloud.qainfo.ru/s/kZhBkbQfFFoz8vo
-
@dmitriy-pisarets , при этом, если полностью сносить программу от админа, то пароль не сохранится, поэтому хотелось бы, чтобы наличие пароля, который не менялся, было гарантией, что настройки тоже не менялись, что, думаю, логично.
-
@dmitriy-pisarets , чтобы нельзя было снести продукт и заразить систему, можно ограничить пользователя в правах (не давать права администратора). При этом, если ничего не менять, уязвимость остаётся у программы (KIS), которую тоже хотелось бы закрыть, несмотря на то, указанный выше сценарий вы уязвимостью не считаете.
-
-
@angeldragon, есть несколько сценариев, когда имея полный доступ к ПК и продукту c паролем, продукт можно удалить вообще. Но тут момент: смысл защиты - сделать так, чтобы никто не получил этот полный доступ. Сможем ли мы перекрыть 100% сценариев, когда зловред/злоумышленник с админскими правами безраздельно управляет ПК и продуктом, и как это повлияет на юзабилити?
P.S. я ошибся ранее - защита работает не в KSC, а в KSOS.
-
@dmitriy-pisarets данный способ обхода был опубликован на оф. форуме и на нескольких других форумах, поэтому и завел багу.
-
@angeldragon, могу переформатировать в предложение "добавить в другие продукты", но ничего гарантировать вам не могу.
-
@dmitriy-pisarets но он есть и им могут воспользоваться, даже удаленно и запустить вредоносное ПО, например, шифровальщик.
-
@angeldragon, просто данный сценарий не считается уязвимостью.
-
@dmitriy-pisarets, добрый день,то есть другие продукты остаются уязвимы намерено?
-