Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties, 24.420 views •
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn geïnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

Helaas wel bij veel bedrijven, en dan doorgaans nog oude versies op XP computers ook.
Als XP gewoon alle updates heeft gehad lijkt XP me net zo 'veilig' als elk ander windows-os (vista, 7, 8 ), dus dat het XP is, maakt opzich niet uit. Een oude versie van IE maakt uiteraard wel uit. Verder zijn natuurlijk de browser-plugins van groot belang...

PS:
om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet.
Hoe voer je iets in met een virtueel keyboard binnen IE als IE geminimaliseerd is? :P

[Reactie gewijzigd door woekele op 12 december 2012 20:23]

Als XP gewoon alle updates heeft gehad lijkt XP me net zo 'veilig' als elk ander windows-os (vista, 7, 8 ), dus dat het XP is, maakt opzich niet uit. Een oude versie van IE maakt uiteraard wel uit. Verder zijn natuurlijk de browser-plugins van groot belang...
In de tekst staat duidelijk dat het gaat over IE6 t/m IE10, van Windows XP tot en met zelfs Windows 8 , dus lijkt me niet dat het al gepatched is.
Als je het orginele artikel leest zul je merken dat het dus ook werkt buiten IE om en waarschijnlijk bedoelde ze dat je 2 schermen (ipv tabs) open hebt en die met de exploit minimaliseerd.

In ieder geval, ik moet zeggen dat de simpelheid van deze bug echt ongelovelijk is en microsoft had dit *makkelijk* binnen een paar uur kunnen fixen. True enough, redelijk wat drag & drop code zou een heel klein beetje minder fijn werken, maar dat is gewoon goed acceptabel. Het feit dat ze dat niet direct deden haalt mij betreft weer een stuk vertrouwen dat IE de goeie kant op ging weg... maja, hopelijk is het oneerlijk om ze op 1 ding te veroordelen... maar dit is echt een bizar simpele bug/design fout.

Voor wie nieuwsgierig is en het artikel niet heeft geopend:
<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
En de fout zit hem er dus in dat screenX van het globale event object word ingesteld terwijl de muis buiten het gebied van de huidige pagina is.
Behalve elk bedrijf. Destijds nog 5 dagen gewerkt op de leuke open versie van IE halfjaartje geleden...
Uit de het bericht :
Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard.
Want Nederland is de hele wereld?
Ben ik de enige die wel eens een pc zonder toetsenbord gebruikt maar wel een login scherm krijg ?

In ieder geval mooi dat het naar buiten is gebracht, zo word er in ieder geval aandacht aan besteed en komen er misschien wel "concrete plannen om dit op korte termijn op te lossen."

[Reactie gewijzigd door the-dark-force op 12 december 2012 20:56]

Windows 8?
Daar speelt de onscreen keyboard zeker een zeer belangrijke rol.
Gezien het OS voor tablets en telefoons geschikt is.
praat je dan niet over windows phone of windows RT ipv windows 8?
daarnaast vraag ik me af of een onscreen keyboard op deze manier af te lezen is. op je tablet en phone zal 99% gewoon vinger aanwijzing gebruiken en word t volgens mij dan wel heel lastig om de muisbewegingen te onderscheppen.
Het hele idee van Windows 8 is dat we met z'n allen overstappen naar touch devices in de woonkamer. Voor developers/tweakers zal dat wat langer duren, maar ik zie deze overstap wel snel gebeuren.

Ik denk dat als je een muis locatie af kan lezen, dat het ook zal werken voor touch input (volgens mij word bij iedere aanraking je "muis" gewoon verplaatst naar waar je klikt.)

Ik geloof dat Windows 8 met IE10 word geleverd, dus het is maar goed dat ze er op tijd bij zijn.
"Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen"

Ik neem aan dat je op tijd sarcastisch bedoeld?
Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.

Overigens hoop ik dat die virtuele keyboards niet meer of minder gebruikt gaan worden ;veel trager, voldoet niet aan OS lay-out, blijkbaar onveilig en gewoon in het algemeen bijzonder irritant. Human input moet je aan Human Input Devices overlaten, niet aan websites!
"Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. "
heb je een bron hierover?
Als het echt waar is, is het wel slechte journalistiek idd.
Dat was toch meteen duidelijk bij het lezen van het artikel? Ik vond het in elk geval volkomen duidelijk. Tenzij ze in de tussentijd het artikel veranderd hebben.
Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.
Maar in het artikel staat toch duidelijk dat de bankwebsite een virtueel toetsenbord gebruikt? Wat is er "slechte journalistiek" aan jouw onvermogen te begrijpen dat dat niet om het OnScreen Keyboard van windows gaat dan? Je zou hooguit kunnen beweren dat dat ééne zinnetje iets duidelijker gekund had, in plaats van nu te gaan lopen Wildersen dat er een "sterk staaltje slechte journalistiek" gepleegd is.
Dat geroeptoeter is al irritant genoeg in de tweede kamer, doe dat svp niet in het echte leven.
6 t/m 10 dus ook in de huidige browser van MS is de kwetsbaarheid aanwezig.

Vreemd dat MS er niets aandoet, want lijkt me toch een kwalijke kwetsbaarheid. Toch maar chrome of Firafox gebruiken dan?
gelukkig gebruik ik het als enige browser en heb nog nooit problemen gehad. heb daarnaast ook nog nooit een website bezocht waar ik invoer via digitale toetsen moest ingeven. denk dat het gevaar behoorlijk klein is. feit blijft wel dat een patch gewoon op zn plek behoort.
IEDERE windows-pc heeft IE, of je nou wil of niet. En ook al gebruik je em niet, je gebruikt em toch verkapt in een aantal tools. Er zijn genoeg tools die een IE-engine gebruiken of ergens verstopt hebben. FeedDaemon bijv, die leeft ervan.
Valt hier ook IE10 voor WP8 en W8 RT onder? Dan lijkt het me best vervelend, want je kan dan vaak alleen maar met een virtuele toetsenbord typen.
AFAIK heb je dan geen (muis)cursor maar krijg je enkel "keypress" events binnen (mits je gebruik maakt van 't native OS ingebakken keyboard). Gebruik je een "HTML/Javascript"-achtig keyboard dan heb je, again: AFAIK, ook geen mouse-move events maar krijg je enkel "mouse clicks" / "touch" events binnen met een bepaald target / X,Y coord. Maar ik kan me in beide gevallen vergissen[/].

[Reactie gewijzigd door RobIII op 12 december 2012 18:16]

Ja, Windows RT valt hier ook onder, net getest. Opvallend genoeg pakt ie enkel het touchpad van mijn tablet, en niet de touch input als cursor.

Het werkt ook op RT omdat het geen lek is zoals een buffer overflow, wat vrij low-level is, maar deze kwetsbaarheid lijkt een high-level geval te zijn. Meer een fout geïmplementeerde specificatie.

[Reactie gewijzigd door Sebazzz op 12 december 2012 19:58]

Ja, Windows RT valt hier ook onder, net getest. Opvallend genoeg pakt ie enkel het touchpad van mijn tablet, en niet de touch input als cursor.
Omdat de touchpad een ('gesimuleerde') muis is die van->naar kent (en dus "mouse" -move events) en de touch display niet? Die zou alleen "hier" (x,y) kennen*. Lijkt me vrij logisch? Maar misschien kraam ik onzin uit hoor :?

* Hoewel je natuurlijk wel over het scherm zou kunnen vegen/tekenen, maar dat geeft geen "move" events maar eerder swipe/pinch en dat soort zaken. Je hebt met een touchscreen niet echt een "(muis)cursor".

[Reactie gewijzigd door RobIII op 12 december 2012 21:13]

Gaan we tegenwoordig alleen lekken posten van browsers op tweakers.net als hij van Microsoft is ? De afgelopen tijd zijn er genoeg lekken te vinden van Chrome en Firefox, maar die vind je hier nooit terug.... Het creëert namelijk een beeld dat alleen internet explorer bugs bevatten (voor de leken hoop ik alleen)

Daarnaast nemen websites zoals Nu.nl en telegraaf het klakkeloos over en verergerd het beeld nog meer |:(

[Reactie gewijzigd door vali op 12 december 2012 21:07]

Zijn dat ook, serieuze, lekken waarvan google heeft aangegeven ze gewoon open te laten? Dat, vind ik, is het kwalijke hier. Als MS op korte termijn met een oplossing zou komen zou dit lek niet zoveel nieuwswaarde hebben, maar ze weigeren kennelijk om er iets aan te doen.
hoe serieus is dit lek? er is niet bekent op welke manier toegang tot de pc verkegen dient te worden voor ze het kunnen uitlezen, en alleen via het gebruik van een digitaal keyboard ( als ik het dus zo lees gaat het niet over een onscreen keyboard maar geprogrameerd keybaord in een website) kunnen ze eventueel iets. als ik even uitga van mezelf als gemiddeld internet gebruiker kan ik me geen enkele site herinneren waar ik via digitale invoer heb gewerkt. dus zo serieus is nog maar de vraag.
Als ik de tekst lees dan gaat het over JS-exploit die buiten een iframe kan treden en mouse-events kan afvangen.

Moeilijkheidsgraad iets in de richting van 0,0 als je eigen ads in een ad-netwerk kan stouwen.

Hoe serieus het is is veelal juist niet de vraag, over het algemeen is de vraag eerder : Hoe moeilijk is het?

Want dat we hier in de benelux weinig html on screen keyboards kennen zegt niets. Stel dat dat de norm zou zijn bij chinese banken dan heb je het over 1/7 van de wereldbevolking
Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen..

Daarbij kunnen wij niet kijken in de keuken van Microsoft en mogelijk zijn er nog een aantal (security) issues welke een hogere prioriteit hebben..

Daarbij kun je alleen invoer afvangen als het virtuele keyword in HTML is geschreven. Virtuele keyboards zoals op telefoons en tablets worden getoond door het OS en zijn dus niet vulnerable.

Daarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..

Hoewel het vervelend is dat men muis events kan afvangen, kan ik ook begrijpen dat Microsoft deze bug niet de hoogte prioriteit geeft omdat de impact in de praktijk vrij laag zal zijn..
Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen.
Er staat dat ze geen plannen hebben het probleem op korte termijn op te lossen. Dat is, zoals ik het lees, wat meer dan geen oplossing hebben, dat is geen oplossing zoeken. Maar het kan zijn dat mijn interpretatie te pessimistisch is.
Daarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..
Maar dat is nu juist het nare van dit lek, het treft niet alleen de site waar het script geïnjecteerd wordt. Wanneer het script eenmaal geladen is op een site, kan de muis gevolgd worden, of je nu naar een ander tabblad gaat of zelfs de browser minimaliseert
As long as the page with the exploitative advertiser’s ad stays open—even if you push the page to a background tab or, indeed, even if you minimise Internet Explorer—your mouse cursor can be tracked across your entire display.
Natuurlijk moet je dan nog wel een manier vinden om er achter te komen dat een banksite geladen is en dat het virtuele toetsenbord daar gebruikt wordt. Dat zou, denk ik, met patroonherkenning wel moeten kunnen, als de aanvaller weet op welke bank (welk toetsenbord) hij zich wil richten.

EDIT: Of je kunt, zoals in de demo op de spider.io site, zien welke nummers iemand intoetst in skype.

[Reactie gewijzigd door Ook al Bezet op 12 december 2012 21:38]

Het gaat ook buiten het window hè? Dus een besmette banner in een ander, geminimaliseerd venster is al genoeg(!)
IE is volgens mij de enige browser zonder auto-update. Dus moeten mensen _zelf_ actie ondernemen om de bug eruit te krijgen. En dus is dit meer nieuws dan bij een browser waarbij alles achter de schermen wordt verholpen.
IE is volgens mij de enige browser zonder auto-update.
omdat dat in het OS voor zowel OS als overige software van dezelfde leverancier zit verwerkt.
En we noemen hem... WindowsUpdate.
In Internet Explorer 10 zit er tegenwoordig een auto install functie.

[Reactie gewijzigd door vali op 12 december 2012 23:22]

Je kunt volgen wat de muis doet, maar kan je ook volgen waarop wordt geklikt?

Vind het trouwens wel een kwalijke zaak dat dat bedrijf zomaar een kant en klare exploit online zet (wat veel bedrijven doen), dat je zegt dat het mogelijk is, maar ook de code geven?

[Reactie gewijzigd door Loller1 op 12 december 2012 18:16]

dus omdat het ook mogelijk is dat slechte hackers het lek vinden gaan we het maar gewoon in t openbaar gooien? wat is het nut van openbaar maken van exploids? en vooral waarom dan de exploidcode erbij geven. dat je openbaar maak dat MS het lek niet wil dichten en dat er dus een mogelijk gevaar is logisch en goed, maar de code erbij geven is gewoon NOT done. ze dwingen MS helemaal niet hiermee, ze laten eerder een slechte naam achter bij het merendeel van de bevolking. denk je nu echt dat het merendeel van de IE gebruikers hier wakker van ligt als ze nooit een website bezoeken met een digitaal invoer keyboard?
Als een exploit bestaat moet je ervan uit gaan dat het bekend is bij crackers. Nu kan ook de rest van de wereld er notie van nemen en eventueel besluiten geen IE meer te gebruiken.
Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.

Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan? Of zijn er gewoon minder virussen mogelijk omdat Microsoft non-appstore software (dus ook malware?) van derden niet toestaat?

Voor een groot bedrijf als Microsoft dat niet bijzonder veel omzet haalt uit zijn gratis software (in tegenstelling tot Windows/Office/Visual Studio/Service Contracten/enz) is er gewoon niet veel capaciteit beschikbaar om dit te fixen. Alhoewel ze nu waarschijnlijk wel in beweging zullen komen.

Misschien een idee om hetzelfde als Google, Apple (WebKit) en FireFox te doen? Gewoon open source, wat goede programmeurs ter ondersteuning en de community met fixes laten komen. Lijkt me dat Microsoft niet meer bang hoeft te zijn dat ze met de release van de IE(6-10) code veel kennis weggeven gezien de software van de concurrentie.
Theoretisch gezien is Internet Explorer een betaalde browser, dit zit simpelweg in je Windows-licentie. En ook dit nog: Open Source heeft niet alleen voordelen maar ook nadelen.
Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.

Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan?
Het gaat niet om een On Screen Keyboard of TouchKeyboard maar om virtuele Javascript-gebaseerde 'keyboards' op websites.
Sowieso zijn dat verschrikkelijk gebruikersonvriendelijke prutsoplossingen om op een webpagina te integreren.

[Reactie gewijzigd door alt-92 op 12 december 2012 18:47]

Of je nu beveiligings-software van 1000 euro hebt of geen, deze exploit werkt als ik me niet vergis met javascript en weet altijd de (x, y) vast te leggen. Dat betekend (lijkt me) ook dat touch-schermen en Windows-RT niet veilig is wanneer er bijvoorbeeld een reclame met deze exploit geopend staat.
Daarnaast gaat MS echt niet zomaar IE open-source maken, het is een product van hun wat redelijk wat belang draagt in het Windows systeem (standaard-browser). Dan vraag je stiekem ook of ze dat met Windows ook een keer willen doen. Want ja, Linux en Mac OS kunnen er toch niet veel van leren?
hoe kan het dat dit een nieuw exploid is en dat dit de reden is waarom jij IE niet gebruik? :z
Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.

Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou bepaalde typische handelingen/bewegingen kunnen herkennen. Dit principe, ook wel "Gesture Recognition" genoemd, wordt ook wel eens binnen computerspellen benut..

Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in het herkennen van bepaalde bewegingspatronen (Gesture Recognition dus). Zoals het navigeren en klikken op een virtueel keyboard.

Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toevoegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een (sub-)optie kunnen worden.

Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag als een welkomme feauture aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zaniken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.

Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om helemaal niets. Al kan ik me voorstellen dat bij de toename van de hoeveelheid haptische invoer er wel misbruik gemaakt zou kunnen worden binnen bekende applicaties. Een beetje serieus ontwikkelaar denkt hier echter tevoren over na, dus er is geen enkel probleem.

[Reactie gewijzigd door CoreIT op 12 december 2012 19:51]

Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.

Ja, je kunt inderdaad muisbewegingen uitlezen in de vorm van cursor-coördinaten uitgedrukt in pixels. Daar kun je in beginsel niet bijster veel mee. Het wordt echter wel interessant als je er een paar slimme koppen opzet die een verzameling van muiscoördinaten gaan analyseren met behulp van bepaalde algorithmen. Men zou een bepaalde typische handelingen kunnen herkennen.

Neem als voorbeeld OCR (Optical Character Recognition); een techniek om tekst binnen binaire rasterdata te herkennen en vervolgens naar een bruikbaar tekstdocument weg te schrijven. Stel je maakt een foto van een krant. Dit ga je dan OCRen (met een programma welk dat kan). De uitvoer daarvan is dan tekst welk je bijv. in je kladblok kunt plakken, wijzigen etc. De algoritmen die gebruikt worden binnen OCR specialiseren zich in het herkennen van letters. Zo kunnen er dus ook algoritmes zijn die zich specialiseren in bepaalde muisbewegingen. Zoals het navigeren en klikken op een virtueel keyboard.

Dat dit uitgelezen kan worden is alleen maar goed; daardoor kunnen wij mooie websites maken. Het is een goede feature. Geen bug. Een bug zou veronderstellen dat het geheel verwijderd zou moeten worden; dat is onzin. De oplossing is hier namelijk niet het verwijderen, maar een extra feature toe te voegen waarmee access-level geregeld kan worden. Eventueel per website en/of browser; evenals dat men JavaScript in zijn geheel kan in/uitschakelen voor bepaalde sites, zou ook dit een optie kunnen worden.

Typisch ook: ineens is er dan onrust: want oh, een BUG! Terwijl het al sinds jaar en dag aanwezig is, maar diegene die het nu een bug noemen, weer gaan lopen zeiken richting Microsoft, er eerder gewoon te dom of onwetend voor waren om in te zien hoe het al die tijd gebruikt kon worden. Beetje sneu.

Evenals met CAPTCHA (welk evenmin veilig is dankzij genoemde OCR-technieken), kan ook hier wel iets op verzonnen worden, zoals een van structuur-wisselend virtueel toetsenbord. Maar ook dat is zinloos; evenals CAPTCHA. Men maakt zich hier veel te druk om juist helemaal niets.
Het lijkt mij toch absoluut een bug dat je het buiten het browser venster (dus na focus loss) kan uitlezen. Dat het binnen een browser venster kan terwijl het tabblad van de site actief is, is inderdaad een mooie feature. Maar daarna mag het van mij toch echt wel stoppen, zou ook niet in zien waarom je (voor iets "normaals") de muis buiten je site wilt volgen.
Dat, en het event mag ook beslist niet cross-domain doorlekken, en dat gebeurt nu "uiteraard" ook.

Een advertentie-iframe op tweakers.net mag dus niet mijn muis kunnen volgen, tenzij de muis toevallig boven het iframe hangt, maar daarbuiten niet. Of het browservenster nou gefocused is of niet.

[Reactie gewijzigd door _Thanatos_ op 12 december 2012 23:10]

Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Allemaal leuk en aardig; maar die events hoort niet "iedereen" (bijvoorbeeld een ad in een iFrame) te krijgen; dat is nou net de crux. Een 3rd party kan dus informatie krijgen van een pagina waar ze helemaal geen recht op hebben door zich bijvoorbeeld te verstoppen in een ad in een iFrame.
An attacker can get access to your mouse movements simply by buying a display ad slot on any webpage you visit.
[...]
Internet Explorer’s event model populates the global Event object with some attributes relating to mouse events, even in situations where it should not. Combined with the ability to trigger events manually using the fireEvent() method, this allows JavaScript in any webpage (or in any iframe within any webpage) to poll for the position of the mouse cursor anywhere on the screen and at any time—even when the tab containing the page is not active, or when the Internet Explorer window is unfocused or minimized.
Je krijgt als 'attacker' dus veel meer informatie dan die je zou moeten (kunnen) krijgen. En dat is wel degelijk een 'information leak' (en dus wel degelijk een bug).

Concreet voorbeeld is lastig(er); een bank zal bijvoorbeeld niet snel ads op z'n inlogpagina met virtual keyboard mikken, maar zoals je in 't artikel kunt lezen:
The vulnerability is already being exploited by at least two display ad analytics companies across billions of page impressions per month.
Het gaat die f*ckers helemaal geen zak aan waar ik allemaal klik in een pagina. Pak een Facebook oid waar wél ads worden weergegeven; zij (de "ad company", niet FB zélf, die kunnen 't en zouden 't ook moeten kunnen; het is immers hun eigen site/pagina) kunnen dan bijvoorbeeld bepalen waar ik allemaal klik als ik op de FB pagina van bedrijf X zit en daarmee bepalen hoe effectief (of ineffectief) bijvoorbeeld bepaalde "targets" op een pagina van een concurrent/conculega zijn en hebben daarmee een oneerlijk voordeel t.o.v. anderen. En ja, de wereld vergaat niet hiermee; maar er spelen soms grote bedragen. Los daarvan heb je gewoon een beveiligingsrisico in het geval 3rd parties wél op een-of-andere-manier (of dat nou ads zijn of injection op een andere manier is) een belangrijke pagina weten te infecteren waar muiscoördinaten en/of clicks een belangrijke rol spelen.

Wat nog veel erger is (en zoals je kunt zien in de demonstratievideo bijvoorbeeld) is dat men in staat is zelfs de muis te tracken buiten de boundaries van de browser (specifiek: buiten de content area, dus niet alleen binnen de chrome van de browser maar zelfs daar nog buiten). Probeer voor de gein anders even (in IE uiteraard) de demo, maak je browser niet-full-screen en beweeg met je muis buiten de browser (of versleep je browser over je desktop) en zie wat zich afspeelt op de demo-pagina.

[Reactie gewijzigd door RobIII op 12 december 2012 20:02]

Lol ik surf al zeker 15 jaar op het internet en ontwikkel al 10 jaar websites maar heb nog NOOIT een website gezien met een onscreen javascript keyboard. Dat websites kunnen bijhouden wat je precies met je muis doet op een website is niet zo heel erg aangezien de meeste websites toch al al je zoekopdrachten en muisklikken op links/ads bijhouden.
Het hoeft geen volledig keyboard te zijn, gewoon een numpad oid. Deutsche Bank gebruikte dit bv. vroeger om de code vanop een kaartje in te voeren.
Het is niet erg omdat het toch al gebeurt :? :?

Het erge is dat een site ALLE muisbewegingen kan bijhouden. Niet alleen de bewegingen die bij de site of bij het frame horen. Dus als jij een tab open hebt op een malafide website, kan die de muisbeweging bijhouden op het tabblad waar je je bankzaken doet.

Ik vermoedt dat zelfs InPrivate geen effect heeft.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True