Explotación peligrosa de IE rastrea los movimientos de tu mouse [Actualizado]

El 1 de octubre de 2012, se presentó una vulnerabilidad en Internet Explorer (de las versiones 6 a 10) por spider.io y mostró un exploit que podría usarse para rastrear los movimientos del puntero en la pantalla. Este exploit podría ser utilizado por aquellos interesados en obtener información sensible incluso cuando el objetivo solo usaba un teclado virtual.

Aunque el problema fue presentado al Centro de Investigación de Seguridad de Microsoft, parece que no están interesados en solucionar el problema, y permanece sin resolver. Esta vulnerabilidad es especialmente peligrosa para aquellos que utilizan teclados virtuales para ingresar detalles de tarjetas de crédito o números de teléfono.

¿Cómo podría afectar esto a los usuarios de IE?

Incluso aquellos que están usando teclados virtuales con el propósito de eludir cualquier keylogger no están a salvo, esto se debe a que el exploit rastrea el movimiento y los clics de tu mouse incluso cuando Internet Explorer está minimizado. Los investigadores de spider.io han creado una página de demostración que muestra el exploit en acción, y también hay un video que muestra lo fácil que es aprender qué está haciendo clic alguien en un teclado numérico.

El presentador del exploit ha declarado que ha informado a Microsoft sobre el problema, y por lo que podemos ver en su sitio web, no se ha tomado ninguna medida para abordarlo:

Mientras que el Centro de Investigación de Seguridad de Microsoft ha reconocido la vulnerabilidad en Internet Explorer, también han declarado que no hay planes inmediatos para parchear esta vulnerabilidad en las versiones existentes del navegador.

Además, debido a que el exploit se puede implementar en IE 6-10, hay muchas víctimas potenciales por ahí y necesitan ser conscientes del problema. Afortunadamente, donde Microsoft se niega a actuar, otros sí lo hacen. También en la página que describe el problema, spider.io asegura a los usuarios que hay empresas que están tratando de encontrar una solución.

El curso que está tomando Microsoft con respecto a este problema es poco profesional, por decir lo menos, pero creemos que solo están tratando de mantener a Internet Explorer como el mejor navegador para descargar otros navegadores. Si este es el caso, ¡entonces están haciendo un trabajo increíble! El informe de errores presentado por Nick Johnson de spider.io es bastante extenso y describe la vulnerabilidad en detalle. Además, ha presentado el código para el exploit en sí:

Esperamos que la importancia de este problema sea notada por más personas y más empresas de seguridad y que se lance pronto una herramienta para hacer que IE sea seguro para aquellos que no quieren migrar hacia un buen navegador.

Actualización: Tras la conmoción en torno a la vulnerabilidad, Microsoft finalmente ha sucumbido a la presión y ahora ha aclarado que está investigando el problema. Aún insisten en que el problema subyacente tiene más que ver con la competencia entre empresas de análisis que con la seguridad o privacidad del consumidor, pero el informe de spider.io pinta un cuadro completamente diferente.