Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk
De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn geïnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.
De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.
Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.
Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.
Reacties (77)
Pfff, wat was ik geschrokken van dit bericht!
Ik heb mijn Internet Explorer 6 meteen gedowngrade naar Internet Explorer 5. Nu ben ik tenminste veilig. Het is maar goed dat ik het nieuws volg op Tweaker.net.
Ik heb mijn Internet Explorer 6 meteen gedowngrade naar Internet Explorer 5. Nu ben ik tenminste veilig. Het is maar goed dat ik het nieuws volg op Tweaker.net.
Wat ik niet direct begrijp, ja ik heb de coordinaten dan van buiten het browser scherm
Maar hoe kan ik uitlezen wat onder die muis zit?
Dus hoe kun je weten dat de gebruiker op een virtual toetsenbord, nu op de 1 klikt en dan op de 7?
Maar hoe kan ik uitlezen wat onder die muis zit?
Dus hoe kun je weten dat de gebruiker op een virtual toetsenbord, nu op de 1 klikt en dan op de 7?
Kwestie van patroonanalyse; met genoeg data (en dat heb je al gauw als je deze vulnerability weet uit te buiten op een big-ass site) pik je er zo patroontjes uit zoals in het filmpje getoond worden waar bijvoorbeeld een "keypad" gebruikt wordt om een code (in 't geval van 't filmpje een telefoonnummer) in te voeren.
Zoals je in de demo kunt zien kun je zelfs de relatieve positie van de cursor t.o.v. het browservenster bepalen en kun je dus meer informatie afleiden dan enkel X en Y coördinaten. Dus bijvoorbeeld ook dat de muiscursor zich binnen / buiten 't browservenster begeeft, waar het browservenster op de desktop staat, of 't venster geminimaliseerd is etc.
Zoals je in de demo kunt zien kun je zelfs de relatieve positie van de cursor t.o.v. het browservenster bepalen en kun je dus meer informatie afleiden dan enkel X en Y coördinaten. Dus bijvoorbeeld ook dat de muiscursor zich binnen / buiten 't browservenster begeeft, waar het browservenster op de desktop staat, of 't venster geminimaliseerd is etc.
[Reactie gewijzigd door RobIII op donderdag 13 december 2012 10:24]
Als je dat denkt hou je jezelf voor de gek. Het verschil is zo klein dat het niet uit maakt welke browser je gebruikt. Ik gebruik gewoon de snelste en die op de meeste sites werkt. En dat is sinds Windows 8 IE10.
Seriously? Code die in een browser draait wordt veiliger geacht dan code daarbuiten, omdat daar wel eens een keylogger bij geïnstalleerd kon wezen?Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
We gaan voor het gemak dan maar voorbij aan het feit dat, als een aanvaller erin slaagt een keylogger te installeren, die vrijwel zeker ook in staat is je browser te compromitteren op elk gewenst niveau. Om nog maar te zwijgen van de talloze veiligheidsbugs in de implementaties van JavaScript die over de jaren heen gevonden zijn. Fysieke keyloggers (hardware) tel ik dan even niet mee omdat degene die die kan installeren al veel te dicht bij een machine gekomen is die voor veilige zaken gebruikt moet worden... Laat dan maar alle hoop varen.
Ik snap wel dat "ff een keyloggertje" allicht waarschijnlijker is dan specialistische software die de browser manipuleert/bekoekeloert, maar toch, vanuit veiligheidsgrenzen geredeneerd is het toch wel bizar om te denken dat een browser veiliger kan zijn als je al aanneemt dat de machine zelf dat niet is. Zeker bankentrojans zijn vaak van specialistische makelij, zodat zo'n trojan zou weten dat de bank gebruik maakt van deze aanpak en met een "muislogger" aan zou komen.
Is wel intressant om zogenaamde heat maps te maken van je website. De meeste mensen gebruiken de cursor als geheugensteuntje waar ze op de website aan het lezen waren
Euh; als je het artikel had gelezen had je gelezen dat IE 6 tot en met 10 kwetsbaar is:als je nog ie 6 en 7 gebruikt dan verdien je gewoon leaks en exploits , maak het webdevs het leven iets makkelijker gewoon andere browser of 9-10 ie
dus ik zie niet hoe je post relevant is...de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10...
[Reactie gewijzigd door RobIII op woensdag 12 december 2012 21:51]
Kan iemand mij uitleggen waarom die ook maar iets uitmaakt? Van mij mag iedereen mijn muisbewegingen volgen, kan je niks mee lijkt mee.
Lol ik surf al zeker 15 jaar op het internet en ontwikkel al 10 jaar websites maar heb nog NOOIT een website gezien met een onscreen javascript keyboard. Dat websites kunnen bijhouden wat je precies met je muis doet op een website is niet zo heel erg aangezien de meeste websites toch al al je zoekopdrachten en muisklikken op links/ads bijhouden.
Het is niet erg omdat het toch al gebeurt
Het erge is dat een site ALLE muisbewegingen kan bijhouden. Niet alleen de bewegingen die bij de site of bij het frame horen. Dus als jij een tab open hebt op een malafide website, kan die de muisbeweging bijhouden op het tabblad waar je je bankzaken doet.
Ik vermoedt dat zelfs InPrivate geen effect heeft.
Het erge is dat een site ALLE muisbewegingen kan bijhouden. Niet alleen de bewegingen die bij de site of bij het frame horen. Dus als jij een tab open hebt op een malafide website, kan die de muisbeweging bijhouden op het tabblad waar je je bankzaken doet.
Ik vermoedt dat zelfs InPrivate geen effect heeft.
Het hoeft geen volledig keyboard te zijn, gewoon een numpad oid. Deutsche Bank gebruikte dit bv. vroeger om de code vanop een kaartje in te voeren.
Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou bepaalde typische handelingen/bewegingen kunnen herkennen. Dit principe, ook wel "Gesture Recognition" genoemd, wordt ook wel eens binnen computerspellen benut..
Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in het herkennen van bepaalde bewegingspatronen (Gesture Recognition dus). Zoals het navigeren en klikken op een virtueel keyboard.
Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toevoegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een (sub-)optie kunnen worden.
Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag als een welkomme feauture aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zaniken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.
Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om helemaal niets. Al kan ik me voorstellen dat bij de toename van de hoeveelheid haptische invoer er wel misbruik gemaakt zou kunnen worden binnen bekende applicaties. Een beetje serieus ontwikkelaar denkt hier echter tevoren over na, dus er is geen enkel probleem.
Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou bepaalde typische handelingen/bewegingen kunnen herkennen. Dit principe, ook wel "Gesture Recognition" genoemd, wordt ook wel eens binnen computerspellen benut..
Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in het herkennen van bepaalde bewegingspatronen (Gesture Recognition dus). Zoals het navigeren en klikken op een virtueel keyboard.
Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toevoegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een (sub-)optie kunnen worden.
Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag als een welkomme feauture aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zaniken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.
Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om helemaal niets. Al kan ik me voorstellen dat bij de toename van de hoeveelheid haptische invoer er wel misbruik gemaakt zou kunnen worden binnen bekende applicaties. Een beetje serieus ontwikkelaar denkt hier echter tevoren over na, dus er is geen enkel probleem.
[Reactie gewijzigd door CoreIT op woensdag 12 december 2012 19:51]
Volledige mee eens, snap ook niet wat het probleem is. Juist voor games en dergelijke html5 applicaties is dit ideal en het zou een beetje lullig zijn als je net wilt richten op een tegenspeler in een game en je muis komt buiten je venster. Is dus gewoon een feature en geen bug. En dan nog zouden ze het tracken, zal mij een zorg zijn.
Allemaal leuk en aardig; maar die events hoort niet "iedereen" (bijvoorbeeld een ad in een iFrame) te krijgen; dat is nou net de crux. Een 3rd party kan dus informatie krijgen van een pagina waar ze helemaal geen recht op hebben door zich bijvoorbeeld te verstoppen in een ad in een iFrame.Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Je krijgt als 'attacker' dus veel meer informatie dan die je zou moeten (kunnen) krijgen. En dat is wel degelijk een 'information leak' (en dus wel degelijk een bug).An attacker can get access to your mouse movements simply by buying a display ad slot on any webpage you visit.
[...]
Internet Explorer’s event model populates the global Event object with some attributes relating to mouse events, even in situations where it should not. Combined with the ability to trigger events manually using the fireEvent() method, this allows JavaScript in any webpage (or in any iframe within any webpage) to poll for the position of the mouse cursor anywhere on the screen and at any time—even when the tab containing the page is not active, or when the Internet Explorer window is unfocused or minimized.
Concreet voorbeeld is lastig(er); een bank zal bijvoorbeeld niet snel ads op z'n inlogpagina met virtual keyboard mikken, maar zoals je in 't artikel kunt lezen:
Het gaat die f*ckers helemaal geen zak aan waar ik allemaal klik in een pagina. Pak een Facebook oid waar wél ads worden weergegeven; zij (de "ad company", niet FB zélf, die kunnen 't en zouden 't ook moeten kunnen; het is immers hun eigen site/pagina) kunnen dan bijvoorbeeld bepalen waar ik allemaal klik als ik op de FB pagina van bedrijf X zit en daarmee bepalen hoe effectief (of ineffectief) bijvoorbeeld bepaalde "targets" op een pagina van een concurrent/conculega zijn en hebben daarmee een oneerlijk voordeel t.o.v. anderen. En ja, de wereld vergaat niet hiermee; maar er spelen soms grote bedragen. Los daarvan heb je gewoon een beveiligingsrisico in het geval 3rd parties wél op een-of-andere-manier (of dat nou ads zijn of injection op een andere manier is) een belangrijke pagina weten te infecteren waar muiscoördinaten en/of clicks een belangrijke rol spelen.The vulnerability is already being exploited by at least two display ad analytics companies across billions of page impressions per month.
Wat nog veel erger is (en zoals je kunt zien in de demonstratievideo bijvoorbeeld) is dat men in staat is zelfs de muis te tracken buiten de boundaries van de browser (specifiek: buiten de content area, dus niet alleen binnen de chrome van de browser maar zelfs daar nog buiten). Probeer voor de gein anders even (in IE uiteraard) de demo, maak je browser niet-full-screen en beweeg met je muis buiten de browser (of versleep je browser over je desktop) en zie wat zich afspeelt op de demo-pagina.
[Reactie gewijzigd door RobIII op woensdag 12 december 2012 20:02]
Het lijkt mij toch absoluut een bug dat je het buiten het browser venster (dus na focus loss) kan uitlezen. Dat het binnen een browser venster kan terwijl het tabblad van de site actief is, is inderdaad een mooie feature. Maar daarna mag het van mij toch echt wel stoppen, zou ook niet in zien waarom je (voor iets "normaals") de muis buiten je site wilt volgen.Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou een bepaalde typische handelingen kunnen herkennen.
Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in bepaalde muisbewegingen. Zoals het navigeren en klikken op een virtueel keyboard.
Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toe te voegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een optie kunnen worden.
Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zeiken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.
Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om juist helemaal niets.
Dat, en het event mag ook beslist niet cross-domain doorlekken, en dat gebeurt nu "uiteraard" ook.
Een advertentie-iframe op tweakers.net mag dus niet mijn muis kunnen volgen, tenzij de muis toevallig boven het iframe hangt, maar daarbuiten niet. Of het browservenster nou gefocused is of niet.
Een advertentie-iframe op tweakers.net mag dus niet mijn muis kunnen volgen, tenzij de muis toevallig boven het iframe hangt, maar daarbuiten niet. Of het browservenster nou gefocused is of niet.
[Reactie gewijzigd door _Thanatos_ op woensdag 12 december 2012 23:10]
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
