13.12.2012, 08:30
Artykuł był na tyle ciekawy i odkrywczy, a przy tym ukazujący poważne konsekwencje odkrycia, że postanowiłem spore fragmenty z niego zacytować (podkreślenia w tekście własne)
Źródło cytatu
Wygląda na to, że anty-keylogger nie jest w stanie tej luce zapobiec...bo nie zrobi tego wirtualna klawiatura oferowana przecież nie tylko przez produkty Kaspersky, ale żadna inna też. Więc albo luka zostanie załatana sprawnie, albo użytkownicy muszą się przesiąść na inne przeglądarki, które nie korzystają z silnika IE. Przypuszczam, że nawet Sandboxie tu nie da rady, bo ono nie daje rady przeciw screen-logerom.
Cytat: Internet Explorer pozwala śledzić kursor. Luka jest wykorzystywana, a Microsoft...
Piotr Gontarczyk, Środa, 12 grudnia 2012, 19:47
1 października bieżącego roku, ekipa Spider.io poinformowała Microsoft o tym, że wszystkie wersje przeglądarki internetowej Internet Explorer, począwszy od wersji szóstej, zawierają błąd, który umożliwia śledzenie ruchów kursora na obszarze całego ekranu - nawet jeśli okno przeglądarki jest zminimalizowane .
Okazuje się, że Microsoft przyjął do wiadomości występowanie tego błędu, ale jednocześnie Microsoft Security Research Center oświadcza, że nie ma obecnie planów wyeliminowania tej luki w obecnie dostępnych wersjach Internet Explorera.
Na pierwszy rzut oka możliwość śledzenia kursora może nie budzić takich obaw, jak na przykład monitorowanie aktywności klawiatury (poprzez tzw. keyloggery), ale to tylko pozory. Rzeczywistość jest taka, że już co najmniej dwie firmy analityczne, związane z branżą reklamową bez problemów wykorzystują lukę w Internet Explorera i to na ogromną skalę - w miliardach wejść na różne strony internetowe . Chyba nikomu nie podoba się świadomość tego, że jakakolwiek jego aktywność na komputerze jest śledzona - bez jego wiedzy.
Monitorowanie aktywności internautów, chociażby na stronach internetowych, to tylko jedna kwestia. Druga jest znacznie bardziej groźna. Możliwość śledzenia ruchów kursora pozwala na wykorzystanie go, w pewnych okolicznościach nawet dokładnie tak, jak wspomnianego wcześniej "keyloggera" . Przykładowo firma Kaspersky Lab w najnowszym programie Kaspersky Antivirus 2013 umieściła dodatek, w postaci Wirtualnej Klawiatury. Rozwiązanie to ma na celu uniknięcie działania właśnie skryptów lub aplikacji monitorujących aktywność klawiatury i zapewnia możliwość wpisywania danych, na przykład numerów kart kredytowych, haseł, itd., za pomocą myszy.
Wystarczy więc stworzyć reklamę lub inną treść, która zwabi potencjalną ofiarę na stronę internetową konkretnego banku i nawet jeśli ta skorzysta z Wirtualnej Klawiatury firmy Kaspersky Lab, to oszuści znając strukturę owej ekranowej klawiatury mogą bez problemu zdobyć informacje o tym, co było za jej pośrednictwem wpisywane.
Co ciekawe, ta sama luka daje możliwość śledzenia nawet pozycji okna Internet Explorera na ekranie.Jeżeli okno przeglądarki nie jest zmaksymalizowane, a użytkownik je przemieszcza, to ktoś bez problemu może to monitorować. Kod skryptu śledzącego aktywność kursora jest bardzo krótki, a Spider.io twierdzi, że może go wykorzystywać każdy, kto wykupi miejsce reklamowe na jakiejkolwiek stronie internetowej. Niebezpieczeństwo nie jest zatem ograniczone tylko do "szemranych" witryn, takich jak na przykład pirackie czy zawierające treści pornograficzne, które ów skrypt mogą zawierać, ale także te najpopularniejsze - wystarczy, że znajdzie się na nich reklama go uruchamiająca.
Źródło cytatu
[Aby zobaczyć linki, zarejestruj się tutaj]
Oryginalny artykuł Spider.io[Aby zobaczyć linki, zarejestruj się tutaj]
Wygląda na to, że anty-keylogger nie jest w stanie tej luce zapobiec...bo nie zrobi tego wirtualna klawiatura oferowana przecież nie tylko przez produkty Kaspersky, ale żadna inna też. Więc albo luka zostanie załatana sprawnie, albo użytkownicy muszą się przesiąść na inne przeglądarki, które nie korzystają z silnika IE. Przypuszczam, że nawet Sandboxie tu nie da rady, bo ono nie daje rady przeciw screen-logerom.