Vulnerabilità Internet Explorer: mostriamo agli hacker cosa facciamo
Una vulnerabilità in diverse versioni del popolare browser di Microsoft, Internet Explorer, permette agli hacker di tracciare i movimenti del nostro mouse.
Questo ha il potenziale di rivelare dati sensibili come le password inserite via la tastiere virtuali, create proprio per evitare il furto di dati tramite keyloggers. Spider.io ha scoperto che le versioni da 6 a 10 di Internet Explorer sono tutte vulnerabili a questo tipo di exploit. La cosa peggiore è che è possibile tracciare i movimenti del mouse anche se la finestra contenente il codice è minimizzata.
Esatto, avete capito bene, basta che ci sia una tab aperta con questo codice e un hacker è in grado di monitorare gli spostamenti del mouse anche se stiamo usando un altro browser a un'applicazione totalmente diversa.
È piuttosto facile sfruttare questa vulnerabilità. Tutto ciò che deve fare un malintenzionato è comprare spazio pubblicitario su una pagina e aspettare che un utente ci finisca sopra. Finché il tab rimane aperto, l'hacker ha un continuo accesso alla posizione del mouse.
La vulnerabilità è stata scoperta da Spider.io, un'azienda che misura l'efficacia delle campagne marketing via web, mentre stava cercando nuovi metodi per misurare l'efficacia dei banner posizionati in diverse parti della pagina. Microsoft è stata informata a Ottobre insieme a Bugtraq, ma non sembra esserci ancora alcun piano per una patch.
La risposta di Microsoft è però stata che "altre applicazioni forniscono questi dati al browser." Mentre è vero che tutti i browser forniscono la posizione del mouse a, ad esempio, un banner, i browser non possono fare ciò se questo è minimizzato o comunque non possono dire dove sia il cursore se questo si trova al di fuori dell'applicazione stessa.
Se volete potete dare un'occhiata alla demo creata da Spider.io per far capire la gravità del problema. Neanche a dirlo, funziona solo con Internet Explorer.
- [10/04/14] Con Windows Xp, muore Internet Explorer 6, il più odiato browser di sempre
- [31/03/10] Super patch per Internet Explorer
- [17/03/10] Microsoft pubblica la patch per Internet Explorer Security Advisor 981374
- [10/10/07] Internet Explorer 7 bersagliato da una nuova vulnerabilità
- [02/04/06] Internet Explorer Eolas-patch