Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties, 24.561 views •
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn ge´nformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

Reactiefilter:-177068+155+29+30
Moderatie-faq Wijzig weergave
Waarom zijn er dan nog steeds mensen die met IE8 werken?
Nog steeds 16% van de wereldbevolking gebruikt IE, dat is 16% teveel maar je kan het niet negeren. Iets wat maar al te vaak duidelijk word bij front-end development. Zou me veel tijd besparen als ik niet alles IE compatible hoefde te maken T_T

http://www.w3schools.com/browsers/browsers_stats.asp
Je kunt volgen wat de muis doet, maar kan je ook volgen waarop wordt geklikt?
Nee, dat wordt niet vermeld, maar het stoppen en van richting veranderen van de cursor zegt al veel. Zo werkt 'swipen' op het virtuele toetsenbord van de smartphone ook!
Zie filmpje... EN het is niet eens alleen websites. Zoals David Mulder schrijft. Ook al zit je buiten je IE focus, vangt het scripts nog steeds muisbewegingen af!

Wederom zie filpje, in Skype wordt een nummer 'gedraaid', in IE ernaast wordt de muisbeweging getoond!
Volledige mee eens, snap ook niet wat het probleem is. Juist voor games en dergelijke html5 applicaties is dit ideal en het zou een beetje lullig zijn als je net wilt richten op een tegenspeler in een game en je muis komt buiten je venster. Is dus gewoon een feature en geen bug. En dan nog zouden ze het tracken, zal mij een zorg zijn.
Bij Windows 8 RT zijn het touch events en geen mouse events (als je touch gebruikt). Pas als je daar een muis op aansluit zouden ze dat dus kunnen volgen bij RT.

Gezien het kleine aantal sites met een virtueel toetsenbordje denk ik dat het lek niet echt een groot risico inhoud, moesten ze mijn muis volgen dan zouden ze gewoon een raar pad zien want ik beweeg mijn muis de hele tijd over webpagina's, of het nu nut heeft of niet. Ik selecteer ook random zaken, gewoon om niet stil te zitten tijdens het lezen :p
De muis tracken naar een applicatie buiten IE lukt, maar ze weten niet in welke applicaties je werkt. Men zal het lek wel dichten, het zal gewoon niet als eerste op hun to-patch lijst staan (er zijn vast wel ergere lekken dan dit).
IE10 blijft hier dus met een gerust hart de standaardbrowser (al blijft Chrome wel als backup ge´nstalleerd) :).

Dit is trouwens geen "ik heb niets te verbergen dus ze mogen alles van me weten" argument, tuurlijk heb ik liever dat de bug weg is, maar ik heb er gewoon geen schrik en last van.

[Reactie gewijzigd door MClaeys op 13 december 2012 12:44]

En waarom niet? Op die manier creeer je nieuwswaarde, en via nieuws kan je potentiŰle slachtoffers misschien voorkomen. Als ik IT manager zou zijn bij een bank, met een virtueel toetsenbordje, dan zou ik dit welkom nieuws vinden en de website aanpassen.
Windows update. Ligt eraan hoe je dat ingesteld hebt staan natuurlijk, als je die uit hebt staan, krijg je inderdaad geen automatische updates voor IE.
Kan iemand mij uitleggen waarom die ook maar iets uitmaakt? Van mij mag iedereen mijn muisbewegingen volgen, kan je niks mee lijkt mee.
Op mijn tablet wel.
Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.
Nee, in dit geval vind ik van niet ze hebben MS 2 maanden de tijd gegeven om dit kritieke lek te dichten maar MS maakt het allemaal weinig uit. Ze proberen dus op deze manier nu MS te dwingen om IE veilig te maken. Deze exploit kan natuurlijk niet alleen door Spider.io kan worden gevonden maar ook door hackers die niet aan de goede kant van de lijn opereren.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True