Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties, 24.418 views •
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn ge´nformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

als je nog ie 6 en 7 gebruikt dan verdien je gewoon leaks en exploits , maak het webdevs het leven iets makkelijker gewoon andere browser of 9-10 ie
Euh; als je het artikel had gelezen had je gelezen dat IE 6 tot en met 10 kwetsbaar is:
...de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10...
dus ik zie niet hoe je post relevant is :?

[Reactie gewijzigd door RobIII op 12 december 2012 21:51]

Is wel intressant om zogenaamde heat maps te maken van je website. De meeste mensen gebruiken de cursor als geheugensteuntje waar ze op de website aan het lezen waren
Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
Seriously? Code die in een browser draait wordt veiliger geacht dan code daarbuiten, omdat daar wel eens een keylogger bij ge´nstalleerd kon wezen?

We gaan voor het gemak dan maar voorbij aan het feit dat, als een aanvaller erin slaagt een keylogger te installeren, die vrijwel zeker ook in staat is je browser te compromitteren op elk gewenst niveau. Om nog maar te zwijgen van de talloze veiligheidsbugs in de implementaties van JavaScript die over de jaren heen gevonden zijn. Fysieke keyloggers (hardware) tel ik dan even niet mee omdat degene die die kan installeren al veel te dicht bij een machine gekomen is die voor veilige zaken gebruikt moet worden... Laat dan maar alle hoop varen.

Ik snap wel dat "ff een keyloggertje" allicht waarschijnlijker is dan specialistische software die de browser manipuleert/bekoekeloert, maar toch, vanuit veiligheidsgrenzen geredeneerd is het toch wel bizar om te denken dat een browser veiliger kan zijn als je al aanneemt dat de machine zelf dat niet is. Zeker bankentrojans zijn vaak van specialistische makelij, zodat zo'n trojan zou weten dat de bank gebruik maakt van deze aanpak en met een "muislogger" aan zou komen.
Als je dat denkt hou je jezelf voor de gek. Het verschil is zo klein dat het niet uit maakt welke browser je gebruikt. Ik gebruik gewoon de snelste en die op de meeste sites werkt. En dat is sinds Windows 8 IE10.
Wat ik niet direct begrijp, ja ik heb de coordinaten dan van buiten het browser scherm
Maar hoe kan ik uitlezen wat onder die muis zit?
Dus hoe kun je weten dat de gebruiker op een virtual toetsenbord, nu op de 1 klikt en dan op de 7?
Kwestie van patroonanalyse; met genoeg data (en dat heb je al gauw als je deze vulnerability weet uit te buiten op een big-ass site) pik je er zo patroontjes uit zoals in het filmpje getoond worden waar bijvoorbeeld een "keypad" gebruikt wordt om een code (in 't geval van 't filmpje een telefoonnummer) in te voeren.

Zoals je in de demo kunt zien kun je zelfs de relatieve positie van de cursor t.o.v. het browservenster bepalen en kun je dus meer informatie afleiden dan enkel X en Y co÷rdinaten. Dus bijvoorbeeld ook dat de muiscursor zich binnen / buiten 't browservenster begeeft, waar het browservenster op de desktop staat, of 't venster geminimaliseerd is etc.

[Reactie gewijzigd door RobIII op 13 december 2012 10:24]

Pfff, wat was ik geschrokken van dit bericht!
Ik heb mijn Internet Explorer 6 meteen gedowngrade naar Internet Explorer 5. Nu ben ik tenminste veilig. Het is maar goed dat ik het nieuws volg op Tweaker.net. ;)

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True