Microsoft jest w trakcie badania, czy ich przeglądarka rzeczywiście posiada lukę, która według spider.io, umożliwia śledzenie ruchu kursora użytkownika, nawet gdy ten znajduje się poza jej oknem, np. na pulpicie.
Luka została odkryta kilka miesięcy temu, dotyczy bezpośrednio klawiatury ekranowej, we wszystkich wersjach Internet Explorera, począwszy od wersji 6.
„Tak długo jak wyłudzająca reklama pozostaje otwarta – nawet gdy okno przeglądarki jest zminimalizowane, bądź znajduje się w tle – twój kursor może być śledzony po całym ekranie.”
Nawet gdy jesteście świadomi ryzyka, niebezpieczeństwo jest duże. Grupa Spider.io ostrzega, iż „Atakujący może uzyskać dostęp do ruchów myszki, poprzez zwykłe wykupienie slotu reklamowego na stronie, która jest odwiedzana.” W praktyce oznacza to, że kod może zostać wykorzystany na dowolnej stronie internetowej, oferującej umieszczenie reklamy, każdemu kto zapłaci odpowiednią kwotę. I nie mówimy tutaj o jakiś mniejszościowych serwisach, nawet takie giganty jak Youtube, mogą zostać wykorzystane przez podglądacza.
Spider.io twierdzi, że co najmniej dwie firmy, badające rynek reklam, wykorzystują, ten sposób aby dowiedzieć się co (gdzie) ludzie oglądają w sieci.
Microsoft Security Research, przyjął do wiadomości informację o luce w IE, lecz na chwilę obecną nie posiada żadnych planów, natychmiastowego usunięcia problemu z bieżących wersji przeglądarek. Ich stanowisko na chwilę obecną jest następujące: „Użytkownicy IE powinni być świadomi bieżącej luki w zabezpieczeniach IE i jej następstw.” Jak widać Microsoft nie przejął się sprawą... twierdzi też, że to przecież wina konkurujących ze sobą firm analitycznych.
„Z tego co wiemy, problem bardziej dotyczy konkurencji firm analitycznych, niż bezpieczeństwa i prywatności użytkowników.” - Dean Hachamovitch, VP of Internet Explorer. Napisał także, „Aktywnie pracujemy nad zmianami zachowań IE”, dodał też, że inne przeglądarki również posiadają podobne „możliwości”.
Video:
Materiał video zawiera pokaz luki w zabezpieczeniach programu Internet Explorer, która pozwala przechwytywać ruch myszy nawet wtedy, gdy przeglądarka jest nieaktywna.
Teraz, wyobraźcie sobie panel logowania do banku, korzystając z opcji klawiatury ekranowej.
Mimo, że bank jest zabezpieczony certyfikatem i nie pozwala na załadowanie się żadnych reklam, nie ma to najmniejszego znaczenia, ponieważ strona banku nie ma nic wspólnego z otwartą zakładką obok. Taki rodzaj śledzenia jak widać, może przydać się do bardzo ciekawych rzeczy.
Jak się chronić? Podczas logowania się do różnych serwisów, przy użyciu klawiatury ekranowej, najlepszym wyjściem będzie zamknięcie wszystkich innych przeglądarek i ich okien.
