• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Новости

    Уязвимость в браузере IE помогает клавиатурным шпионам

    Инженер компании Spider.io, специализирующейся на веб-аналитике, опубликовал описание уязвимости в браузере Internet Explorer (IE) версий с 6-й по 10-ю, которая может позволить злоумышленнику или рекламодателю отслеживать движения пользователя мышью. Это позволяет потенциально перехватывать данные, которые вводятся с помощью виртуальной клавиатуры.

    Ник Джонсон, который ранее работал на Google, опубликовал подробную информацию об уязвимости в списке рассылки Bugtraq: "В текущей версии Internet Explorer заполняет глобальные параметры объекта события для событий мыши, даже в ситуации, когда он не должен этого делать. В сочетании с возможностью вызвать события вручную с помощью метода FireEvent() это позволяет на любой веб-странице (или в IFRAME на любом веб-сайте) собирать статистику позиций курсора мыши в любом месте экрана в любое время - даже тогда, когда страница неактивна или Internet Explorer является неактивным или свернут.

    Знание положения курсора имеет серьезные последствия для систем проверки подлинности, которые используют виртуальную клавиатуру, как способ обойти клавиатурных шпионов. Виртуальные клавиатуры, которые используют рандомизацию для положения клавиш не подвержены этой опасности. По словам Джонсона, злоумышленник может получить доступ к пользовательским движениям мыши простой покупкой рекламного места на любой веб-странице, которую посещают определенные пользователи, следовательно использование данной уязвимости намного проще, чем использовать клавиатурный шпион. Любой, даже самый доверенный сайт может содержать такую "рекламу". Пока страница открыта или работает в фоновом режиме, даже если вы свернули браузер, движения мыши по-прежнему будут отслеживаться.

    В Spider.io разработали страницу с экспуатацией этой уязвимости в браузере на практике. Джонсон также создал игру, в которой пользователю показывается след от движений мыши. Затем игра, пытаестя угадать, что было изображено пользователем.