This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Internet Explorer permite a los atacantes defecto para rastrear los movimientos del ratón

Filed Under: Data loss, Featured, Internet Explorer, Microsoft, Privacy, Security threats, Vulnerability, Web Browsers

Del cursor del ratón. Imagen de Shutterstock Los investigadores han descubierto un agujero de seguridad en Internet Explorer, que puede dar a los hackers una forma de rastrear los movimientos del cursor del ratón, incluso si la ventana está inactiva, minimizado o fuera de foco.

La vulnerabilidad es particularmente preocupante dado que desbarata el uso de teclados virtuales y teclados virtal, que se utilizan como defensa contra los keyloggers.

La vulnerabilidad fue descubierta por spider.io, proveedor de una plataforma organizada que según la compañía, permite a los usuarios a distinguir entre los visitantes del sitio humanos y bots en tiempo real.

He aquí un breve vídeo en el que se demuestra el problema:

Spider.io descubrió la falla el 1 de octubre y divulgada a Microsoft, informando a la empresa que las versiones de IE 6 a 10 se ven afectados.

Microsoft Security Research Center reconoció el error, pero no está saltando en un aprieto, diciendo spider.io que "no tiene planes inmediatos" para remendar en versiones de navegadores existentes.

Así spider.io hizo pública el martes.

El defecto del cursor da a los atacantes el acceso a los movimientos del ratón de un usuario de IE incluso si él o ella se ha abstenido de instalar software funky.

Los atacantes pueden acceder a los movimientos de los visitantes del ratón con sólo comprar un espacio publicitario visualización en cualquier sitio web, y estos sitios no son sólo los callejones oscuros de la Internet, spider.io dice:

"Esto no está limitado a la pornografía lowbrow y los sitios de intercambio de archivos. A través de intercambios de anuncios de hoy en día, cualquier sitio de YouTube para el New York Times es un posible medio de ataque."

De hecho, la vulnerabilidad está siendo activamente explotada por al menos dos de visualización de análisis ad compañías a través de "miles de millones de impresiones de página web cada mes", dice spider.io.

Esto es válido para cualquier página que se mantiene abierta, incluso si el visitante lo empuja a una pestaña en segundo plano o minimiza la IE por completo, ya que "el cursor del ratón se puede seguir a través de la pantalla entera", dice la compañía.

La vulnerabilidad permite a los atacantes la capacidad de arrebatar fácilmente contraseñas o detalles de tarjetas de crédito, todo ello sin la molestia de instalar un keylogger.

Por supuesto, como dice spider.io, teclados virtuales se utilizan normalmente para reducir la posibilidad de que un hacker puede registrar las pulsaciones de teclas con teclado de hardware interceptores o keyloggers.

Para demostrar lo fácil que es para explotar, spider.io ha convertido el seguimiento de errores en un juego, que se puede encontrar aquí .

Captura de pantalla de demostración de Spider.io

Me gustaría informar de cómo se juega, pero al igual que Richard Chirgwin encima en el Registro , cuando se trata de la IE, soy un abstemio. Nunca tocar las cosas.

Spider.io dice que para el juego, escrito por 12 números de tarjetas de crédito, números de teléfono, nombres de usuario, contraseñas y direcciones de correo electrónico mediante un teclado virtual y un ratón.

El reto es descifrar las huellas de ratón correspondientes y reconstruir lo escrito tan pronto como sea posible - una tarea que aseguran los visitantes tendrán a través de la facilidad de la hazaña.

El líder, a partir del jueves, fue un visitante que reconstruyó los 12 patrones de teclado en 24 minutos y 53 segundos.

Los detalles técnicos de la vulnerabilidad tiene que ver con el modelo de eventos de IE, que llena el objeto de evento global con atributos relacionados con los eventos del ratón, incluso cuando debería tubo hacia abajo sobre ellos, spider.io dice.

Chattiness que, combinado con la capacidad para activar eventos manualmente con un método llamado fireEvent (), permite JavaScript en cualquier sitio web o en cualquier iFrame a una consulta de la posición del cursor en cualquier parte de la pantalla, en cualquier momento, independientemente de la página que se minimiza o se inactivos.

Ese método fireEvent mismo también expone el estado de las teclas Control, Shift y Alt, spider.io dice.

¿Hay que prever una solución pronto?

Toma lo que veo como una respuesta displicente de Microsoft, se mezcla con la perspectiva de unos miles de millones clics en los anuncios devaluados, y ver lo rápido que los aumentos de la magdalena.

En otras palabras, probablemente no.


Del cursor del ratón la imagen de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.