Internet Explorer pozwala śledzić kursor. Luka jest wykorzystywana, a Microsoft...

1 października bieżącego roku, ekipa Spider.io poinformowała Microsoft o tym, że wszystkie wersje przeglądarki internetowej Internet Explorer, począwszy od wersji szóstej, zawierają błąd, który umożliwia śledzenie ruchów kursora na obszarze całego ekranu - nawet jeśli okno przeglądarki jest zminimalizowane.

Okazuje się, że Microsoft przyjął do wiadomości występowanie tego błędu, ale jednocześnie Microsoft Security Research Center oświadcza, że nie ma obecnie planów wyeliminowania tej luki w obecnie dostępnych wersjach Internet Explorera.

Na pierwszy rzut oka możliwość śledzenia kursora może nie budzić takich obaw, jak na przykład monitorowanie aktywności klawiatury (poprzez tzw. keyloggery), ale to tylko pozory. Rzeczywistość jest taka, że już co najmniej dwie firmy analityczne, związane z branżą reklamową bez problemów

wykorzystują lukę w Internet Explorera i to na ogromną skalę - w miliardach wejść na różne strony internetowe. Chyba nikomu nie podoba się świadomość tego, że jakakolwiek jego aktywność na komputerze jest śledzona - bez jego wiedzy.

Monitorowanie aktywności internautów, chociażby na stronach internetowych, to tylko jedna kwestia. Druga jest znacznie bardziej groźna. Możliwość śledzenia ruchów kursora pozwala na wykorzystanie go, w pewnych okolicznościach nawet dokładnie tak, jak wspomnianego wcześniej "keyloggera". Przykładowo firma Kaspersky Lab w najnowszym programie Kaspersky Antivirus 2013 umieściła dodatek, w postaci Wirtualnej Klawiatury. Rozwiązanie to ma na celu uniknięcie działania właśnie skryptów lub aplikacji monitorujących aktywność klawiatury i zapewnia możliwość wpisywania danych, na przykład numerów kart kredytowych, haseł, itd., za pomocą myszy.

Wystarczy więc stworzyć reklamę lub inną treść, która zwabi potencjalną ofiarę na stronę internetową konkretnego banku i nawet jeśli ta skorzysta z Wirtualnej Klawiatury firmy Kaspersky Lab, to oszuści znając strukturę owej ekranowej klawiatury mogą bez problemu zdobyć informacje o tym, co było za jej pośrednictwem wpisywane.
Co ciekawe, ta sama luka daje możliwość śledzenia nawet pozycji okna Internet Explorera na ekranie. Jeżeli okno przeglądarki nie jest zmaksymalizowane, a użytkownik je przemieszcza, to ktoś bez problemu może to

monitorować. Kod skryptu śledzącego aktywność kursora jest bardzo krótki, a Spider.io twierdzi, że może go wykorzystywać każdy, kto wykupi miejsce reklamowe na jakiejkolwiek stronie internetowej. Niebezpieczeństwo nie jest zatem ograniczone tylko do "szemranych" witryn, takich jak na przykład pirackie czy zawierające treści pornograficzne, które ów skrypt mogą zawierać, ale także te najpopularniejsze - wystarczy, że znajdzie się na nich reklama go uruchamiająca.

Ekipa Spider.io przygotowała i udostępniła nawet prosty pokaz skryptu śledzącego kursor w akcji. Można go znaleźć pod adresem iedataleak.spider.io/demo. Stronę trzeba oczywiście otworzyć poprzez Internet Explorera 6, 7, 8, 9 lub 10. Dla osób, które nie mają na komputerach przeglądarki internetowej Microsoftu udostępniono, poprzez serwis YouTube, krótki materiał filmowy. Można w nim zobaczyć śledzenie użytkownika wybierającego numer kontaktowy w programie Skypie, gdy okno Internet Explorera nawet nie jest aktywne.


Źródło: Spider.io

---

Microsoft nie naprawi błędu 'śledzenia kursora' w IE

Jak podaje blog Spider.io, który zajmuje się śledzeniem ruchu sieciowego i bezpieczeństwem w Internecie, specjaliści Microsoftu są świadomi istnienia tego błędu, ale w najbliższym czasie nie zamierzają go naprawiać. Już w przypadku pierwszego problemu, dotyczącego reklam, Microsoft powinien zająć się sprawą, ponieważ mało który użytkownik życzy sobie, aby zewnętrzne firmy śledziły jego ruchy w sieci.

Źródło: http://spider.io/blog/2012/12/internet-e...a-leakage/