I ricercatori hanno scoperto una falla di sicurezza in Internet Explorer, dando modo potenzialmente ad un hacker di tenere traccia dei movimenti del cursore del mouse (tracking mouse), anche se la finestra non è attiva, ridotta al minimo o sfocata. La vulnerabilità è particolarmente preoccupante dato che non è ostacola dall'uso di tastiere e tastierini virtuali, che vengono utilizzati come difesa contro i keylogger.
La vulnerabilità è stata scoperta da spider.io, fornitore di una piattaforma hosting attraverso la quale l'azienda dice che riesce a distinguere tra i visitatori del sito umani e bot in tempo reale. Spider.io ha scoperto la falla il 1° ottobre scorso e lo ha comunicato a Microsoft, informando la società che le versioni di IE 6-10 sono interessate.
Le 21 linee di codice exploit postate da Spider.io dimostrano che JavaScript in qualsiasi pagina Web, o iframe, possono rilevare la posizione del cursore del mouse tramite fireEvent(), perché Internet Explorer "popola il global event object con alcuni attributi relativi agli eventi del mouse, anche in situazioni dove non dovrebbe".
Microsoft Security Research Center ha riconosciuto il difetto ma non ha trovato ancora una correzione, dicendo a Spider.io che non ha "piani immediati" per applicare le patch nelle versioni dei browser esistenti. Così Spider.io ha pubblicato Martedì scorso. Il difetto cursore dà agli attaccanti l'accesso ai movimenti del mouse di un utente di IE, anche se lui o lei si è astenuto da installare il software.
Gli aggressori possono accedere ai movimenti del mouse dei visitatori solo con l'acquisto di uno spazio pubblicitario di visualizzazione su qualsiasi sito Web, e tali siti non sono solo i vicoli oscuri di Internet, Spider.io dice: "La vulnerabilità è già sfruttata da almeno due società di analisi dei dati di visualizzazione di annunci in miliardi di impression su pagine Web ogni mese".
"Fino a quando la pagina con l'annuncio per lo sfruttamento resta aperta, anche se si clicca la pagina ad un scheda in secondo piano o, addirittura, anche se si riduce a icona di Internet Explorer, il cursore del mouse può essere monitorato attraverso il vostro intero schermo", spiega Spider.io. La risposta di Microsoft non è tardata ad arrivare dopo il live demo di Spider.io
Le 21 linee di codice exploit postate da Spider.io dimostrano che JavaScript in qualsiasi pagina Web, o iframe, possono rilevare la posizione del cursore del mouse tramite fireEvent(), perché Internet Explorer "popola il global event object con alcuni attributi relativi agli eventi del mouse, anche in situazioni dove non dovrebbe".
Microsoft Security Research Center ha riconosciuto il difetto ma non ha trovato ancora una correzione, dicendo a Spider.io che non ha "piani immediati" per applicare le patch nelle versioni dei browser esistenti. Così Spider.io ha pubblicato Martedì scorso. Il difetto cursore dà agli attaccanti l'accesso ai movimenti del mouse di un utente di IE, anche se lui o lei si è astenuto da installare il software.
Gli aggressori possono accedere ai movimenti del mouse dei visitatori solo con l'acquisto di uno spazio pubblicitario di visualizzazione su qualsiasi sito Web, e tali siti non sono solo i vicoli oscuri di Internet, Spider.io dice: "La vulnerabilità è già sfruttata da almeno due società di analisi dei dati di visualizzazione di annunci in miliardi di impression su pagine Web ogni mese".
"Fino a quando la pagina con l'annuncio per lo sfruttamento resta aperta, anche se si clicca la pagina ad un scheda in secondo piano o, addirittura, anche se si riduce a icona di Internet Explorer, il cursore del mouse può essere monitorato attraverso il vostro intero schermo", spiega Spider.io. La risposta di Microsoft non è tardata ad arrivare dopo il live demo di Spider.io
"Negli ultimi giorni abbiamo visto i rapporti relativi ad abuso di comportamento del browser in merito alla posizione del mouse. Microsoft sta lavorando a stretto contatto con altre aziende per affrontare il problema del movimento del mouse relativo alla posizione. Da quello che sappiamo oggi, il problema di fondo ha più a che fare con la concorrenza tra le società di analisi dei dati piuttosto che sicurezza dei consumatori o privacy", scrive Microsoft.
"Stiamo lavorando attivamente per regolare questo comportamento in IE. Ci sono funzionalità simili disponibili in altri browser. Dalle aziende di Analytics ci si può aspettare che effettuino il rilevamento del punto di vista in IE in modo simile a come lo fanno in altri browser. Provvederemo ad aggiornare questo blog con più informazioni appena saranno disponibili".
Via: The Register
Via: The Register
Nessun commento:
Posta un commento