Internet Explorer ошибка позволяет злоумышленникам отслеживать ваши движения мыши

Курсор мыши. Изображение из Shutterstock Исследователи обнаружили уязвимость в Internet Explorer, потенциально предоставляя хакерам способ отслеживания движения курсора мыши, даже если ваше окно не активно, минимизировать или вне фокуса.

Эта уязвимость вызывает особую тревогу, учитывая, что оно подрывает использование виртуальной клавиатуры и virtal клавиатурами, которые используются в качестве защиты от клавиатурных шпионов.

Уязвимость была обнаружена spider.io, поставщика платформы, которая состоялась говорится в сообщении компании позволяют пользователям различать человеческие посетителей сайта и ботов в режиме реального времени.

Вот краткое видео , где данный вопрос показал:

Spider.io обнаружен недостаток 1 октября и раскрывается его Microsoft, сообщив, что компания IE версий 6-10 страдают.

Microsoft Security Research Center признан дефект, но не прыгать на исправление, говорит spider.io, что он имеет "нет планов", чтобы исправить это в существующих версиях браузера.

Так spider.io огласку во вторник.

Курсор недостаток дает злоумышленникам доступ к мыши пользователя, т.е. движений, даже если он или она воздержалась от установки фанк программного обеспечения.

Злоумышленники могут получить доступ к движениям посетителей мышь просто покупка слот медийных объявлений на любом сайте, и эти сайты не только темные переулки в Интернете, spider.io говорит:

"Это не ограничивается порно быдло и файлообменные сайты. Через объявление сегодняшний биржи, любой сайт с YouTube в Нью-Йорк Таймс возможный вектор атаки».

В самом деле, уязвимость активно эксплуатируется по меньшей мере два медийных объявлений аналитики компании через "миллиарды веб-страницы впечатлений каждый месяц", spider.io говорит.

Это относится к любой странице, который остается открытым, даже если посетитель толкает его в фоновой вкладке или минимизирует IE в целом, учитывая, что "курсор мыши можно проследить во всей дисплей", говорит компания.

Уязвимость позволяет злоумышленникам возможность легко похитить пароли и данные кредитной карты, все без проблем с установкой кейлоггер.

Конечно, как spider.io говорит, виртуальные клавиатуры обычно используются, чтобы уменьшить вероятность того, что хакер может записывать нажатия клавиш с аппаратной клавиатурой перехватчиков и клавиатурных шпионов.

Для того чтобы продемонстрировать, как легко эксплуатировать, spider.io превратился отслеживания ошибка в игре, которую можно найти здесь .

Скриншоты из демо Spider.io

Я бы сообщать о том, как он играет, но, как Ричард Chirgwin по меньшей The Register , когда дело доходит до IE, я трезвенник. Я никогда не прикасаться к вещи.

Spider.io говорит, что для игры, они набрали из 12 номеров кредитных карт, номера телефонов, имена пользователей, пароли и адреса электронной почты, используя виртуальную клавиатуру и мышь.

Задача состоит в том, чтобы расшифровать соответствующие следы мыши и реконструировать то, что они набрали как можно быстрее – задача, которую они уверяют посетители получат по простоте подвиг.

Лидером, как и в четверг, был посетитель, который реконструировали 12 паттернов клавиатуру в 24 минут 53 секунд.

Технические подробности уязвимости имеют отношение к модели событий IE, который заполняет глобальный объект события с атрибутами, связанных с событиями мыши, даже когда она должна трубе вниз о них, spider.io говорит.

Именно болтливость, в сочетании с возможностью запуска событий вручную с помощью метода, называемого FireEvent (), позволяет наличие на любом сайте или в любом IFrame для запроса курсора в любом месте экрана, в любое время, независимо от того, страница, которую сведены к минимуму или неактивным.

Тот же метод FireEvent также предоставляет статус управления, сдвиг и альт ключи, spider.io говорит.

Должны ли мы ожидать исправления в ближайшее время?

Возьмите то, что я рассматриваю как вялый ответ от Microsoft, смешать его с перспективой на несколько миллиардов девальвирован клики по объявлениям, и посмотреть, как быстро, что кекс поднимается.

Иными словами, вероятно, нет.


Курсор мыши изображение от Shutterstock.