Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties, 24.418 views •
Submitter: LauPro

De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn geïnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.

Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

Reacties (77)

Als je het orginele artikel leest zul je merken dat het dus ook werkt buiten IE om en waarschijnlijk bedoelde ze dat je 2 schermen (ipv tabs) open hebt en die met de exploit minimaliseerd.

In ieder geval, ik moet zeggen dat de simpelheid van deze bug echt ongelovelijk is en microsoft had dit *makkelijk* binnen een paar uur kunnen fixen. True enough, redelijk wat drag & drop code zou een heel klein beetje minder fijn werken, maar dat is gewoon goed acceptabel. Het feit dat ze dat niet direct deden haalt mij betreft weer een stuk vertrouwen dat IE de goeie kant op ging weg... maja, hopelijk is het oneerlijk om ze op 1 ding te veroordelen... maar dit is echt een bizar simpele bug/design fout.

Voor wie nieuwsgierig is en het artikel niet heeft geopend:
<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
En de fout zit hem er dus in dat screenX van het globale event object word ingesteld terwijl de muis buiten het gebied van de huidige pagina is.
Nee het OSK is heel wat anders. Het zou hier dus gaan om websites die een (eigen) keypad gebruiken. Een sterk staaltje slechte journalistiek dus.

Overigens hoop ik dat die virtuele keyboards niet meer of minder gebruikt gaan worden ;veel trager, voldoet niet aan OS lay-out, blijkbaar onveilig en gewoon in het algemeen bijzonder irritant. Human input moet je aan Human Input Devices overlaten, niet aan websites!
AFAIK heb je dan geen (muis)cursor maar krijg je enkel "keypress" events binnen (mits je gebruik maakt van 't native OS ingebakken keyboard). Gebruik je een "HTML/Javascript"-achtig keyboard dan heb je, again: AFAIK, ook geen mouse-move events maar krijg je enkel "mouse clicks" / "touch" events binnen met een bepaald target / X,Y coord. Maar ik kan me in beide gevallen vergissen[/].

[Reactie gewijzigd door RobIII op 12 december 2012 18:16]

Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen.
Er staat dat ze geen plannen hebben het probleem op korte termijn op te lossen. Dat is, zoals ik het lees, wat meer dan geen oplossing hebben, dat is geen oplossing zoeken. Maar het kan zijn dat mijn interpretatie te pessimistisch is.
Daarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..
Maar dat is nu juist het nare van dit lek, het treft niet alleen de site waar het script geïnjecteerd wordt. Wanneer het script eenmaal geladen is op een site, kan de muis gevolgd worden, of je nu naar een ander tabblad gaat of zelfs de browser minimaliseert
As long as the page with the exploitative advertiser’s ad stays open—even if you push the page to a background tab or, indeed, even if you minimise Internet Explorer—your mouse cursor can be tracked across your entire display.
Natuurlijk moet je dan nog wel een manier vinden om er achter te komen dat een banksite geladen is en dat het virtuele toetsenbord daar gebruikt wordt. Dat zou, denk ik, met patroonherkenning wel moeten kunnen, als de aanvaller weet op welke bank (welk toetsenbord) hij zich wil richten.

EDIT: Of je kunt, zoals in de demo op de spider.io site, zien welke nummers iemand intoetst in skype.

[Reactie gewijzigd door Ook al Bezet op 12 december 2012 21:38]

Het gaat ook buiten het window hè? Dus een besmette banner in een ander, geminimaliseerd venster is al genoeg(!)
In Internet Explorer 10 zit er tegenwoordig een auto install functie.

[Reactie gewijzigd door vali op 12 december 2012 23:22]

Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.

Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan?
Het gaat niet om een On Screen Keyboard of TouchKeyboard maar om virtuele Javascript-gebaseerde 'keyboards' op websites.
Sowieso zijn dat verschrikkelijk gebruikersonvriendelijke prutsoplossingen om op een webpagina te integreren.

[Reactie gewijzigd door alt-92 op 12 december 2012 18:47]

Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Allemaal leuk en aardig; maar die events hoort niet "iedereen" (bijvoorbeeld een ad in een iFrame) te krijgen; dat is nou net de crux. Een 3rd party kan dus informatie krijgen van een pagina waar ze helemaal geen recht op hebben door zich bijvoorbeeld te verstoppen in een ad in een iFrame.
An attacker can get access to your mouse movements simply by buying a display ad slot on any webpage you visit.
[...]
Internet Explorer’s event model populates the global Event object with some attributes relating to mouse events, even in situations where it should not. Combined with the ability to trigger events manually using the fireEvent() method, this allows JavaScript in any webpage (or in any iframe within any webpage) to poll for the position of the mouse cursor anywhere on the screen and at any time—even when the tab containing the page is not active, or when the Internet Explorer window is unfocused or minimized.
Je krijgt als 'attacker' dus veel meer informatie dan die je zou moeten (kunnen) krijgen. En dat is wel degelijk een 'information leak' (en dus wel degelijk een bug).

Concreet voorbeeld is lastig(er); een bank zal bijvoorbeeld niet snel ads op z'n inlogpagina met virtual keyboard mikken, maar zoals je in 't artikel kunt lezen:
The vulnerability is already being exploited by at least two display ad analytics companies across billions of page impressions per month.
Het gaat die f*ckers helemaal geen zak aan waar ik allemaal klik in een pagina. Pak een Facebook oid waar wél ads worden weergegeven; zij (de "ad company", niet FB zélf, die kunnen 't en zouden 't ook moeten kunnen; het is immers hun eigen site/pagina) kunnen dan bijvoorbeeld bepalen waar ik allemaal klik als ik op de FB pagina van bedrijf X zit en daarmee bepalen hoe effectief (of ineffectief) bijvoorbeeld bepaalde "targets" op een pagina van een concurrent/conculega zijn en hebben daarmee een oneerlijk voordeel t.o.v. anderen. En ja, de wereld vergaat niet hiermee; maar er spelen soms grote bedragen. Los daarvan heb je gewoon een beveiligingsrisico in het geval 3rd parties wél op een-of-andere-manier (of dat nou ads zijn of injection op een andere manier is) een belangrijke pagina weten te infecteren waar muiscoördinaten en/of clicks een belangrijke rol spelen.

Wat nog veel erger is (en zoals je kunt zien in de demonstratievideo bijvoorbeeld) is dat men in staat is zelfs de muis te tracken buiten de boundaries van de browser (specifiek: buiten de content area, dus niet alleen binnen de chrome van de browser maar zelfs daar nog buiten). Probeer voor de gein anders even (in IE uiteraard) de demo, maak je browser niet-full-screen en beweeg met je muis buiten de browser (of versleep je browser over je desktop) en zie wat zich afspeelt op de demo-pagina.

[Reactie gewijzigd door RobIII op 12 december 2012 20:02]

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True