إنترنت إكسبلورر تسمح للمهاجمين للعيب تتبع حركات الماوس الخاص بك

الماوس المؤشر. صورة من Shutterstock وقد وجد الباحثون ثغرة أمنية في إنترنت إكسبلورر، مما قد يعطي المتسللين وسيلة لتتبع تحركات مؤشر الماوس الخاص بك، حتى لو كان لديك نافذة غير نشطة، أو التقليل غير مركزة.

ضعف مثار قلق خاص نظرا لأنه يحبط استخدام لوحات المفاتيح لوحات المفاتيح الافتراضية وvirtal، والتي تستخدم كوسيلة للدفاع ضد كيلوغرز.

تم اكتشاف الضعف spider.io، ببائع منصة استضافت أن تقول الشركة يتيح للمستخدمين للتمييز بين زوار الموقع البشرية والسير في الوقت الحقيقي.

وهنا موجز الفيديو حيث أثبتت هذه المسألة:

اكتشف Spider.io الخلل في أكتوبر 1st و الإفصاح عنها لمايكروسوفت، الشركة التي يبلغ فيها تتأثر الإصدارات IE 6-10.

واعترف مايكروسوفت مركز أبحاث الأمن الخلل ولكن لم يتم القفز على الإصلاح، وقال spider.io أن لديها "أي خطط فورية" لتصحيح ذلك في الإصدارات متصفح القائمة.

حتى ذهب spider.io العامة يوم الثلاثاء.

الخلل المؤشر يعطي المهاجمين الوصول إلى حركات الماوس مستخدم IE حتى اذا كان قد امتنع عن تثبيت البرامج غير تقليدي.

يمكن الوصول إلى المهاجمين حركات الماوس الزوار فقط عن طريق شراء فتحة الإعلانات المصورة على أي موقع، وهذه المواقع ليست مجرد أزقة مظلمة للإنترنت، spider.io يقول:

"لا يقتصر هذا على الاباحية ومواقع تافهة وتبادل الملفات. من خلال التبادلات الإعلانية اليوم، أي موقع من يوتيوب لصحيفة نيويورك تايمز هي ناقلات هجوم محتمل."

في الواقع، هو ضعف بنشاط يجري استغلالها من قبل اثنين على الأقل من عرض الإعلان تحليلات الشركات عبر "مليارات الانطباعات صفحة الويب كل شهر،" يقول spider.io.

هذا ينطبق على أي صفحة يبقى مفتوحا، حتى لو كان الزائر يدفع إلى علامة تبويب الخلفية أو يقلل من IE تماما، بالنظر إلى أن "يمكن تتبع مؤشر الماوس الخاص بك عبر شاشة العرض كله"، ويقول للشركة.

ضعف المهاجمين يعطي القدرة على انتزاع بسهولة كلمات السر أو تفاصيل بطاقة الائتمان، كل ذلك من دون عناء تثبيت كلوغر.

بطبيعة الحال، كما يقول spider.io، وعادة ما تستخدم لوحات المفاتيح الافتراضية لتقليل فرصة أن القراصنة يمكن أن تسجل لوحة المفاتيح الضغط على المفاتيح مع الأجهزة اعتراضية أو كيلوغرز.

من أجل إظهار كم هو سهل لاستغلال، تحولت spider.io علة تتبع إلى لعبة، والتي يمكن العثور عليها هنا .

لقطة من العرض التوضيحي من Spider.io

وأود أن يقدم تقريرا عن الكيفية التي يلعب، ولكن مثل ريتشارد Chirgwin في أكثر من السجل ، عندما يتعلق الأمر لشركة آي إي، أنا الممتنع عن المكسرات. أنا لم تلمس الاشياء.

Spider.io يقول ان لعبة، وأنها كتبت من 12 رقم بطاقة الائتمان، وأرقام الهاتف، وأسماء المستخدمين وكلمات السر وعناوين البريد الإلكتروني باستخدام لوحة المفاتيح الافتراضية والفأرة.

ويتمثل التحدي في فك الماوس آثار المقابلة وإعادة بناء ما كتبته في أسرع وقت ممكن – وهي مهمة يؤكدون الزوار سوف تحصل في جميع أنحاء سهولة استغلال.

الزعيم، اعتبارا من يوم الخميس، وكان الزائر الذي أعيد بناؤها أنماط لوحة المفاتيح 12 في 24 دقيقة 53 ثانية.

التفاصيل الفنية لضعف لها علاقة مع نموذج الحدث IE، الذي بملء كائن الحدث العالمي مع سمات المتعلقة أحداث الماوس، حتى عندما ينبغي أنابيب أسفل عنها، spider.io يقول.

أن الثرثرة، جنبا إلى جنب مع القدرة على تحريك الأحداث يدويا مع طريقة تسمى (موافقة)، يسمح جافا سكريبت في أي موقع إلكتروني أو في أي الإطار من الاستعلام عن موضع رأس المؤشر في أي مكان على الشاشة، في أي وقت، بغض النظر عن كونه تصغير الصفحة أو غير نشط.

هذه الطريقة يعرض نفسه fireEvent أيضا حالة مفاتيح التحكم، والتحول ALT، spider.io يقول.

ينبغي لنا أن نتوقع قريبا الإصلاح؟

اتخاذ ما عرض كرد اهن من مايكروسوفت، ومزجها مع احتمال بضعة مليارات من النقرات على الإعلانات تخفيض قيمة، ونرى كيف أن ارتفاع سريع كب كيك.

وبعبارة أخرى، ربما لا.


الماوس المؤشر صورة من Shutterstock.