Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk
De firma Spider.io heeft een kwetsbaarheid in Internet Explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. Microsoft zou zijn geïnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.
De kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen Internet Explorer worden uitgevoerd. Het maakt daarbij niet uit of de browser geminimaliseerd is of niet. De benodigde javascriptcode voor het uitlezen van het zogenaamde Event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.
Spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in Internet Explorer 6 tot en met 10, aan Microsoft hebben doorgegeven. Het Microsoft Security Research Center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. De firma heeft daarop besloten de exploitcode openbaar te maken.
Volgens Spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. Ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. Daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. Onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. Door deze IE-bug kan een kwaadwillende echter alsnog de invoer achterhalen.
Reacties (77)
In ieder geval, ik moet zeggen dat de simpelheid van deze bug echt ongelovelijk is en microsoft had dit *makkelijk* binnen een paar uur kunnen fixen. True enough, redelijk wat drag & drop code zou een heel klein beetje minder fijn werken, maar dat is gewoon goed acceptabel. Het feit dat ze dat niet direct deden haalt mij betreft weer een stuk vertrouwen dat IE de goeie kant op ging weg... maja, hopelijk is het oneerlijk om ze op 1 ding te veroordelen... maar dit is echt een bizar simpele bug/design fout.
Voor wie nieuwsgierig is en het artikel niet heeft geopend:
En de fout zit hem er dus in dat screenX van het globale event object word ingesteld terwijl de muis buiten het gebied van de huidige pagina is.<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
Overigens hoop ik dat die virtuele keyboards niet meer of minder gebruikt gaan worden ;veel trager, voldoet niet aan OS lay-out, blijkbaar onveilig en gewoon in het algemeen bijzonder irritant. Human input moet je aan Human Input Devices overlaten, niet aan websites!
[Reactie gewijzigd door RobIII op woensdag 12 december 2012 18:16]
Er staat dat ze geen plannen hebben het probleem op korte termijn op te lossen. Dat is, zoals ik het lees, wat meer dan geen oplossing hebben, dat is geen oplossing zoeken. Maar het kan zijn dat mijn interpretatie te pessimistisch is.Microsoft zegt helemaal niet dat ze het probleem niet gaan oplossen, ze hebben alleen aangegeven als feedback naar de ontdekkers dat zij momenteel nog geen oplossing hebben. Als het probleem al vanaf IE6 aanwezig is, ga je zo'n issue niet even binnen twee maanden kunnen oplossen.
Maar dat is nu juist het nare van dit lek, het treft niet alleen de site waar het script geïnjecteerd wordt. Wanneer het script eenmaal geladen is op een site, kan de muis gevolgd worden, of je nu naar een ander tabblad gaat of zelfs de browser minimaliseertDaarbij waarschuwt spider.io dat dergelijke virtuele keyboards door onder andere banken worden gebruikt. Maar de meeste banken hebben geen banners binnen hun internet bankieren website, dus ook die vlieger gaat niet op..
Natuurlijk moet je dan nog wel een manier vinden om er achter te komen dat een banksite geladen is en dat het virtuele toetsenbord daar gebruikt wordt. Dat zou, denk ik, met patroonherkenning wel moeten kunnen, als de aanvaller weet op welke bank (welk toetsenbord) hij zich wil richten.As long as the page with the exploitative advertiser’s ad stays open—even if you push the page to a background tab or, indeed, even if you minimise Internet Explorer—your mouse cursor can be tracked across your entire display.
EDIT: Of je kunt, zoals in de demo op de spider.io site, zien welke nummers iemand intoetst in skype.
[Reactie gewijzigd door Ook al Bezet op woensdag 12 december 2012 21:38]
[Reactie gewijzigd door vali op woensdag 12 december 2012 23:22]
Het gaat niet om een On Screen Keyboard of TouchKeyboard maar om virtuele Javascript-gebaseerde 'keyboards' op websites.Microsoft lijkt alleen kritieke fouten/lekken direct te willen fixen. Zoals het nu lijkt moet je dus geen virtueel toetsenbord gebruiken in IE en je bent veilig.
Alleen de tabletjes met RT (zijn er nog niet zo heel veel)? Moet je daar dan gewoon maar je USB toetsenbord van je gewone computer aanhangen dan?
Sowieso zijn dat verschrikkelijk gebruikersonvriendelijke prutsoplossingen om op een webpagina te integreren.
[Reactie gewijzigd door alt-92 op woensdag 12 december 2012 18:47]
Allemaal leuk en aardig; maar die events hoort niet "iedereen" (bijvoorbeeld een ad in een iFrame) te krijgen; dat is nou net de crux. Een 3rd party kan dus informatie krijgen van een pagina waar ze helemaal geen recht op hebben door zich bijvoorbeeld te verstoppen in een ad in een iFrame.Persoonlijk stoor ik mij enorm aan het feit dat men dit "bugs" noemt. Het woord wordt maar te pas en te onpas gebruikt. Dit is geen "bug", maar een regelrechte feature die er al sinds jaar en dag zit ingebakken. Het is via bijv. Javascripting mogelijk om bepaalde input-gerelateerde events ('gebeurtenissen'/'handelingen') op te vangen. Muisbewegingen (MouseMove) zijn hier een voorbeeld van.
Je krijgt als 'attacker' dus veel meer informatie dan die je zou moeten (kunnen) krijgen. En dat is wel degelijk een 'information leak' (en dus wel degelijk een bug).An attacker can get access to your mouse movements simply by buying a display ad slot on any webpage you visit.
[...]
Internet Explorer’s event model populates the global Event object with some attributes relating to mouse events, even in situations where it should not. Combined with the ability to trigger events manually using the fireEvent() method, this allows JavaScript in any webpage (or in any iframe within any webpage) to poll for the position of the mouse cursor anywhere on the screen and at any time—even when the tab containing the page is not active, or when the Internet Explorer window is unfocused or minimized.
Concreet voorbeeld is lastig(er); een bank zal bijvoorbeeld niet snel ads op z'n inlogpagina met virtual keyboard mikken, maar zoals je in 't artikel kunt lezen:
Het gaat die f*ckers helemaal geen zak aan waar ik allemaal klik in een pagina. Pak een Facebook oid waar wél ads worden weergegeven; zij (de "ad company", niet FB zélf, die kunnen 't en zouden 't ook moeten kunnen; het is immers hun eigen site/pagina) kunnen dan bijvoorbeeld bepalen waar ik allemaal klik als ik op de FB pagina van bedrijf X zit en daarmee bepalen hoe effectief (of ineffectief) bijvoorbeeld bepaalde "targets" op een pagina van een concurrent/conculega zijn en hebben daarmee een oneerlijk voordeel t.o.v. anderen. En ja, de wereld vergaat niet hiermee; maar er spelen soms grote bedragen. Los daarvan heb je gewoon een beveiligingsrisico in het geval 3rd parties wél op een-of-andere-manier (of dat nou ads zijn of injection op een andere manier is) een belangrijke pagina weten te infecteren waar muiscoördinaten en/of clicks een belangrijke rol spelen.The vulnerability is already being exploited by at least two display ad analytics companies across billions of page impressions per month.
Wat nog veel erger is (en zoals je kunt zien in de demonstratievideo bijvoorbeeld) is dat men in staat is zelfs de muis te tracken buiten de boundaries van de browser (specifiek: buiten de content area, dus niet alleen binnen de chrome van de browser maar zelfs daar nog buiten). Probeer voor de gein anders even (in IE uiteraard) de demo, maak je browser niet-full-screen en beweeg met je muis buiten de browser (of versleep je browser over je desktop) en zie wat zich afspeelt op de demo-pagina.
[Reactie gewijzigd door RobIII op woensdag 12 december 2012 20:02]
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
