Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn ge´nformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

Reactiefilter:-177068+155+29+30
Moderatie-faq Wijzig weergave
Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.

Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan? Of zijn er gewoon minder virussen mogelijk omdat Microsoft non-appstore software (dus ook malware?) van derden niet toestaat?

Voor een groot bedrijf als Microsoft dat niet bijzonder veel omzet haalt uit zijn gratis software (in tegenstelling tot Windows/Office/Visual Studio/Service Contracten/enz) is er gewoon niet veel capaciteit beschikbaar om dit te fixen. Alhoewel ze nu waarschijnlijk wel in beweging zullen komen.

Misschien een idee om hetzelfde als Google, Apple (WebKit) en FireFox te doen? Gewoon open source, wat goede programmeurs ter ondersteuning en de community met fixes laten komen. Lijkt me dat Microsoft niet meer bang hoeft te zijn dat ze met de release van de IE(6-10) code veel kennis weggeven gezien de software van de concurrentie.
Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.

Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan?
Het gaat niet om een On Screen Keyboard of TouchKeyboard maar om virtuele Javascript-gebaseerde 'keyboards' op websites.
Sowieso zijn dat verschrikkelijk gebruikersonvriendelijke prutsoplossingen om op een webpagina te integreren.

[Reactie gewijzigd door alt-92 op 12 december 2012 18:47]

Theoretisch gezien is Internet Explorer een betaalde browser, dit zit simpelweg in je Windows-licentie. En ook dit nog: Open Source heeft niet alleen voordelen maar ook nadelen.
Of je nu beveiligings-software van 1000 euro hebt of geen, deze exploit werkt als ik me niet vergis met javascript en weet altijd de (x, y) vast te leggen. Dat betekend (lijkt me) ook dat touch-schermen en Windows-RT niet veilig is wanneer er bijvoorbeeld een reclame met deze exploit geopend staat.
Daarnaast gaat MS echt niet zomaar IE open-source maken, het is een product van hun wat redelijk wat belang draagt in het Windows systeem (standaard-browser). Dan vraag je stiekem ook of ze dat met Windows ook een keer willen doen. Want ja, Linux en Mac OS kunnen er toch niet veel van leren?
Bij Windows 8 RT zijn het touch events en geen mouse events (als je touch gebruikt). Pas als je daar een muis op aansluit zouden ze dat dus kunnen volgen bij RT.

Gezien het kleine aantal sites met een virtueel toetsenbordje denk ik dat het lek niet echt een groot risico inhoud, moesten ze mijn muis volgen dan zouden ze gewoon een raar pad zien want ik beweeg mijn muis de hele tijd over webpagina's, of het nu nut heeft of niet. Ik selecteer ook random zaken, gewoon om niet stil te zitten tijdens het lezen :p
De muis tracken naar een applicatie buiten IE lukt, maar ze weten niet in welke applicaties je werkt. Men zal het lek wel dichten, het zal gewoon niet als eerste op hun to-patch lijst staan (er zijn vast wel ergere lekken dan dit).
IE10 blijft hier dus met een gerust hart de standaardbrowser (al blijft Chrome wel als backup ge´nstalleerd) :).

Dit is trouwens geen "ik heb niets te verbergen dus ze mogen alles van me weten" argument, tuurlijk heb ik liever dat de bug weg is, maar ik heb er gewoon geen schrik en last van.

[Reactie gewijzigd door MClaeys op 13 december 2012 12:44]

Valt hier ook IE10 voor WP8 en W8 RT onder? Dan lijkt het me best vervelend, want je kan dan vaak alleen maar met een virtuele toetsenbord typen.
AFAIK heb je dan geen (muis)cursor maar krijg je enkel "keypress" events binnen (mits je gebruik maakt van 't native OS ingebakken keyboard). Gebruik je een "HTML/Javascript"-achtig keyboard dan heb je, again: AFAIK, ook geen mouse-move events maar krijg je enkel "mouse clicks" / "touch" events binnen met een bepaald target / X,Y coord. Maar ik kan me in beide gevallen vergissen[/].

[Reactie gewijzigd door RobIII op 12 december 2012 18:16]

Ja, Windows RT valt hier ook onder, net getest. Opvallend genoeg pakt ie enkel het touchpad van mijn tablet, en niet de touch input als cursor.

Het werkt ook op RT omdat het geen lek is zoals een buffer overflow, wat vrij low-level is, maar deze kwetsbaarheid lijkt een high-level geval te zijn. Meer een fout ge´mplementeerde specificatie.

[Reactie gewijzigd door Sebazzz op 12 december 2012 19:58]

Ja, Windows RT valt hier ook onder, net getest. Opvallend genoeg pakt ie enkel het touchpad van mijn tablet, en niet de touch input als cursor.
Omdat de touchpad een ('gesimuleerde') muis is die van->naar kent (en dus "mouse" -move events) en de touch display niet? Die zou alleen "hier" (x,y) kennen*. Lijkt me vrij logisch? Maar misschien kraam ik onzin uit hoor :?

* Hoewel je natuurlijk wel over het scherm zou kunnen vegen/tekenen, maar dat geeft geen "move" events maar eerder swipe/pinch en dat soort zaken. Je hebt met een touchscreen niet echt een "(muis)cursor".

[Reactie gewijzigd door RobIII op 12 december 2012 21:13]

Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.

Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-co÷rdinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muisco÷rdinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou bepaalde typische handelingen/bewegingen kunnen herkennen. Dit principe, ook wel "Gesture Recognition" genoemd, wordt ook wel eens binnen computerspellen benut..

Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in het herkennen van bepaalde bewegingspatronen (Gesture Recognition dus). Zoals het navigeren en klikken op een virtueel keyboard.

Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toevoegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een (sub-)optie kunnen worden.

Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag als een welkomme feauture aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zaniken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.

Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om helemaal niets. Al kan ik me voorstellen dat bij de toename van de hoeveelheid haptische invoer er wel misbruik gemaakt zou kunnen worden binnen bekende applicaties. Een beetje serieus ontwikkelaar denkt hier echter tevoren over na, dus er is geen enkel probleem.

[Reactie gewijzigd door CoreIT op 12 december 2012 19:51]

Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Allemaal leuk en aardig; maar die events hoort niet "iedereen" (bijvoorbeeld een ad in een iFrame) te krijgen; dat is nou net de crux. Een 3rd party kan dus informatie krijgen van een pagina waar ze helemaal geen recht op hebben door zich bijvoorbeeld te verstoppen in een ad in een iFrame.
An attacker can get access to your mouse movements simply by buying a display ad slot on any webpage you visit.
[...]
Internet Explorer’s event model populates the global Event object with some attributes relating to mouse events, even in situations where it should not. Combined with the ability to trigger events manually using the fireEvent() method, this allows JavaScript in any webpage (or in any iframe within any webpage) to poll for the position of the mouse cursor anywhere on the screen and at any time—even when the tab containing the page is not active, or when the Internet Explorer window is unfocused or minimized.
Je krijgt als 'attacker' dus veel meer informatie dan die je zou moeten (kunnen) krijgen. En dat is wel degelijk een 'information leak' (en dus wel degelijk een bug).

Concreet voorbeeld is lastig(er); een bank zal bijvoorbeeld niet snel ads op z'n inlogpagina met virtual keyboard mikken, maar zoals je in 't artikel kunt lezen:
The vulnerability is already being exploited by at least two display ad analytics companies across billions of page impressions per month.
Het gaat die f*ckers helemaal geen zak aan waar ik allemaal klik in een pagina. Pak een Facebook oid waar wÚl ads worden weergegeven; zij (de "ad company", niet FB zÚlf, die kunnen 't en zouden 't ook moeten kunnen; het is immers hun eigen site/pagina) kunnen dan bijvoorbeeld bepalen waar ik allemaal klik als ik op de FB pagina van bedrijf X zit en daarmee bepalen hoe effectief (of ineffectief) bijvoorbeeld bepaalde "targets" op een pagina van een concurrent/conculega zijn en hebben daarmee een oneerlijk voordeel t.o.v. anderen. En ja, de wereld vergaat niet hiermee; maar er spelen soms grote bedragen. Los daarvan heb je gewoon een beveiligingsrisico in het geval 3rd parties wÚl op een-of-andere-manier (of dat nou ads zijn of injection op een andere manier is) een belangrijke pagina weten te infecteren waar muisco÷rdinaten en/of clicks een belangrijke rol spelen.

Wat nog veel erger is (en zoals je kunt zien in de demonstratievideo bijvoorbeeld) is dat men in staat is zelfs de muis te tracken buiten de boundaries van de browser (specifiek: buiten de content area, dus niet alleen binnen de chrome van de browser maar zelfs daar nog buiten). Probeer voor de gein anders even (in IE uiteraard) de demo, maak je browser niet-full-screen en beweeg met je muis buiten de browser (of versleep je browser over je desktop) en zie wat zich afspeelt op de demo-pagina.

[Reactie gewijzigd door RobIII op 12 december 2012 20:02]

Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.

Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-co÷rdinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muisco÷rdinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou een bepaalde typische handelingen kunnen herkennen.

Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in bepaalde muisbewegingen. Zoals het navigeren en klikken op een virtueel keyboard.

Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toe te voegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een optie kunnen worden.

Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zeiken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.

Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om juist helemaal niets.
Het lijkt mij toch absoluut een bug dat je het buiten het browser venster (dus na focus loss) kan uitlezen. Dat het binnen een browser venster kan terwijl het tabblad van de site actief is, is inderdaad een mooie feature. Maar daarna mag het van mij toch echt wel stoppen, zou ook niet in zien waarom je (voor iets "normaals") de muis buiten je site wilt volgen.
Dat, en het event mag ook beslist niet cross-domain doorlekken, en dat gebeurt nu "uiteraard" ook.

Een advertentie-iframe op tweakers.net mag dus niet mijn muis kunnen volgen, tenzij de muis toevallig boven het iframe hangt, maar daarbuiten niet. Of het browservenster nou gefocused is of niet.

[Reactie gewijzigd door _Thanatos_ op 12 december 2012 23:10]

Volledige mee eens, snap ook niet wat het probleem is. Juist voor games en dergelijke html5 applicaties is dit ideal en het zou een beetje lullig zijn als je net wilt richten op een tegenspeler in een game en je muis komt buiten je venster. Is dus gewoon een feature en geen bug. En dan nog zouden ze het tracken, zal mij een zorg zijn.
Wat ik niet direct begrijp, ja ik heb de coordinaten dan van buiten het browser scherm
Maar hoe kan ik uitlezen wat onder die muis zit?
Dus hoe kun je weten dat de gebruiker op een virtual toetsenbord, nu op de 1 klikt en dan op de 7?
Kwestie van patroonanalyse; met genoeg data (en dat heb je al gauw als je deze vulnerability weet uit te buiten op een big-ass site) pik je er zo patroontjes uit zoals in het filmpje getoond worden waar bijvoorbeeld een "keypad" gebruikt wordt om een code (in 't geval van 't filmpje een telefoonnummer) in te voeren.

Zoals je in de demo kunt zien kun je zelfs de relatieve positie van de cursor t.o.v. het browservenster bepalen en kun je dus meer informatie afleiden dan enkel X en Y co÷rdinaten. Dus bijvoorbeeld ook dat de muiscursor zich binnen / buiten 't browservenster begeeft, waar het browservenster op de desktop staat, of 't venster geminimaliseerd is etc.

[Reactie gewijzigd door RobIII op 13 december 2012 10:24]

Gaan we tegenwoordig alleen lekken posten van browsers op tweakers.net als hij van Microsoft is ? De afgelopen tijd zijn er genoeg lekken te vinden van Chrome en Firefox, maar die vind je hier nooit terug.... Het creŰert namelijk een beeld dat alleen internet explorer bugs bevatten (voor de leken hoop ik alleen)

Daarnaast nemen websites zoals Nu.nl en telegraaf het klakkeloos over en verergerd het beeld nog meer |:(

[Reactie gewijzigd door vali op 12 december 2012 21:07]

Zijn dat ook, serieuze, lekken waarvan google heeft aangegeven ze gewoon open te laten? Dat, vind ik, is het kwalijke hier. Als MS op korte termijn met een oplossing zou komen zou dit lek niet zoveel nieuwswaarde hebben, maar ze weigeren kennelijk om er iets aan te doen.
Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen..

Daarbij kunnen wij niet kijken in de keuken van Microsoft en mogelijk zijn er nog een aantal (security) issues welke een hogere prioriteit hebben..

Daarbij kun je alleen invoer afvangen als het virtuele keyword in HTML is geschreven. Virtuele keyboards zoals op telefoons en tablets worden getoond door het OS en zijn dus niet vulnerable.

Daarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..

Hoewel het vervelend is dat men muis events kan afvangen, kan ik ook begrijpen dat Microsoft deze bug niet de hoogte prioriteit geeft omdat de impact in de praktijk vrij laag zal zijn..
Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen.
Er staat dat ze geen plannen hebben het probleem op korte termijn op te lossen. Dat is, zoals ik het lees, wat meer dan geen oplossing hebben, dat is geen oplossing zoeken. Maar het kan zijn dat mijn interpretatie te pessimistisch is.
Daarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..
Maar dat is nu juist het nare van dit lek, het treft niet alleen de site waar het script ge´njecteerd wordt. Wanneer het script eenmaal geladen is op een site, kan de muis gevolgd worden, of je nu naar een ander tabblad gaat of zelfs de browser minimaliseert
As long as the page with the exploitative advertiser’s ad stays open—even if you push the page to a background tab or, indeed, even if you minimise Internet Explorer—your mouse cursor can be tracked across your entire display.
Natuurlijk moet je dan nog wel een manier vinden om er achter te komen dat een banksite geladen is en dat het virtuele toetsenbord daar gebruikt wordt. Dat zou, denk ik, met patroonherkenning wel moeten kunnen, als de aanvaller weet op welke bank (welk toetsenbord) hij zich wil richten.

EDIT: Of je kunt, zoals in de demo op de spider.io site, zien welke nummers iemand intoetst in skype.

[Reactie gewijzigd door Ook al Bezet op 12 december 2012 21:38]

Het gaat ook buiten het window hŔ? Dus een besmette banner in een ander, geminimaliseerd venster is al genoeg(!)
hoe serieus is dit lek? er is niet bekent op welke manier toegang tot de pc verkegen dient te worden voor ze het kunnen uitlezen, en alleen via het gebruik van een digitaal keyboard ( als ik het dus zo lees gaat het niet over een onscreen keyboard maar geprogrameerd keybaord in een website) kunnen ze eventueel iets. als ik even uitga van mezelf als gemiddeld internet gebruiker kan ik me geen enkele site herinneren waar ik via digitale invoer heb gewerkt. dus zo serieus is nog maar de vraag.
Als ik de tekst lees dan gaat het over JS-exploit die buiten een iframe kan treden en mouse-events kan afvangen.

Moeilijkheidsgraad iets in de richting van 0,0 als je eigen ads in een ad-netwerk kan stouwen.

Hoe serieus het is is veelal juist niet de vraag, over het algemeen is de vraag eerder : Hoe moeilijk is het?

Want dat we hier in de benelux weinig html on screen keyboards kennen zegt niets. Stel dat dat de norm zou zijn bij chinese banken dan heb je het over 1/7 van de wereldbevolking
IE is volgens mij de enige browser zonder auto-update. Dus moeten mensen _zelf_ actie ondernemen om de bug eruit te krijgen. En dus is dit meer nieuws dan bij een browser waarbij alles achter de schermen wordt verholpen.
IE is volgens mij de enige browser zonder auto-update.
omdat dat in het OS voor zowel OS als overige software van dezelfde leverancier zit verwerkt.
En we noemen hem... WindowsUpdate.
In Internet Explorer 10 zit er tegenwoordig een auto install functie.

[Reactie gewijzigd door vali op 12 december 2012 23:22]

Waarom zijn er dan nog steeds mensen die met IE8 werken?
Windows update. Ligt eraan hoe je dat ingesteld hebt staan natuurlijk, als je die uit hebt staan, krijg je inderdaad geen automatische updates voor IE.
Lol ik surf al zeker 15 jaar op het internet en ontwikkel al 10 jaar websites maar heb nog NOOIT een website gezien met een onscreen javascript keyboard. Dat websites kunnen bijhouden wat je precies met je muis doet op een website is niet zo heel erg aangezien de meeste websites toch al al je zoekopdrachten en muisklikken op links/ads bijhouden.
Het hoeft geen volledig keyboard te zijn, gewoon een numpad oid. Deutsche Bank gebruikte dit bv. vroeger om de code vanop een kaartje in te voeren.
Het is niet erg omdat het toch al gebeurt :? :?

Het erge is dat een site ALLE muisbewegingen kan bijhouden. Niet alleen de bewegingen die bij de site of bij het frame horen. Dus als jij een tab open hebt op een malafide website, kan die de muisbeweging bijhouden op het tabblad waar je je bankzaken doet.

Ik vermoedt dat zelfs InPrivate geen effect heeft.
Je kunt volgen wat de muis doet, maar kan je ook volgen waarop wordt geklikt?

Vind het trouwens wel een kwalijke zaak dat dat bedrijf zomaar een kant en klare exploit online zet (wat veel bedrijven doen), dat je zegt dat het mogelijk is, maar ook de code geven?

[Reactie gewijzigd door Loller1 op 12 december 2012 18:16]

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.
Nee, in dit geval vind ik van niet ze hebben MS 2 maanden de tijd gegeven om dit kritieke lek te dichten maar MS maakt het allemaal weinig uit. Ze proberen dus op deze manier nu MS te dwingen om IE veilig te maken. Deze exploit kan natuurlijk niet alleen door Spider.io kan worden gevonden maar ook door hackers die niet aan de goede kant van de lijn opereren.
dus omdat het ook mogelijk is dat slechte hackers het lek vinden gaan we het maar gewoon in t openbaar gooien? wat is het nut van openbaar maken van exploids? en vooral waarom dan de exploidcode erbij geven. dat je openbaar maak dat MS het lek niet wil dichten en dat er dus een mogelijk gevaar is logisch en goed, maar de code erbij geven is gewoon NOT done. ze dwingen MS helemaal niet hiermee, ze laten eerder een slechte naam achter bij het merendeel van de bevolking. denk je nu echt dat het merendeel van de IE gebruikers hier wakker van ligt als ze nooit een website bezoeken met een digitaal invoer keyboard?
Als een exploit bestaat moet je ervan uit gaan dat het bekend is bij crackers. Nu kan ook de rest van de wereld er notie van nemen en eventueel besluiten geen IE meer te gebruiken.
En waarom niet? Op die manier creeer je nieuwswaarde, en via nieuws kan je potentiŰle slachtoffers misschien voorkomen. Als ik IT manager zou zijn bij een bank, met een virtueel toetsenbordje, dan zou ik dit welkom nieuws vinden en de website aanpassen.
Je kunt volgen wat de muis doet, maar kan je ook volgen waarop wordt geklikt?
Nee, dat wordt niet vermeld, maar het stoppen en van richting veranderen van de cursor zegt al veel. Zo werkt 'swipen' op het virtuele toetsenbord van de smartphone ook!
Is wel intressant om zogenaamde heat maps te maken van je website. De meeste mensen gebruiken de cursor als geheugensteuntje waar ze op de website aan het lezen waren
Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
Seriously? Code die in een browser draait wordt veiliger geacht dan code daarbuiten, omdat daar wel eens een keylogger bij ge´nstalleerd kon wezen?

We gaan voor het gemak dan maar voorbij aan het feit dat, als een aanvaller erin slaagt een keylogger te installeren, die vrijwel zeker ook in staat is je browser te compromitteren op elk gewenst niveau. Om nog maar te zwijgen van de talloze veiligheidsbugs in de implementaties van JavaScript die over de jaren heen gevonden zijn. Fysieke keyloggers (hardware) tel ik dan even niet mee omdat degene die die kan installeren al veel te dicht bij een machine gekomen is die voor veilige zaken gebruikt moet worden... Laat dan maar alle hoop varen.

Ik snap wel dat "ff een keyloggertje" allicht waarschijnlijker is dan specialistische software die de browser manipuleert/bekoekeloert, maar toch, vanuit veiligheidsgrenzen geredeneerd is het toch wel bizar om te denken dat een browser veiliger kan zijn als je al aanneemt dat de machine zelf dat niet is. Zeker bankentrojans zijn vaak van specialistische makelij, zodat zo'n trojan zou weten dat de bank gebruik maakt van deze aanpak en met een "muislogger" aan zou komen.
Pfff, wat was ik geschrokken van dit bericht!
Ik heb mijn Internet Explorer 6 meteen gedowngrade naar Internet Explorer 5. Nu ben ik tenminste veilig. Het is maar goed dat ik het nieuws volg op Tweaker.net. ;)

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat OnePlus

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True