Pericoloso exploit di IE traccia i tuoi movimenti del mouse [Aggiornato]

Il 1° ottobre 2012, una vulnerabilità in Internet Explorer (dalla versione 6 alla 10) è stata segnalata da spider.io e ha mostrato un exploit che potrebbe essere utilizzato per tracciare i movimenti del puntatore sullo schermo. Questo exploit potrebbe essere utilizzato da chi è interessato a ottenere informazioni sensibili anche quando l’obiettivo utilizza solo una tastiera virtuale.

Sebbene il problema sia stato segnalato al Microsoft Security Research Center, sembra che non siano interessati a risolvere il problema, e rimane irrisolto. Questa vulnerabilità è particolarmente pericolosa per coloro che utilizzano tastiere virtuali per inserire dettagli della carta di credito o numeri di telefono.

Come potrebbe influenzare gli utenti di IE?

Anche coloro che utilizzano tastiere virtuali per bypassare eventuali keylogger non sono al sicuro, perché l’exploit traccia i movimenti e i clic del mouse anche quando Internet Explorer è minimizzato. I ricercatori di spider.io hanno creato una pagina demo che mostra l’exploit in azione, e c’è anche un video che mostra quanto sia facile scoprire su cosa qualcuno sta cliccando su una tastiera telefonica.

Il mittente dell’exploit ha dichiarato di aver informato Microsoft del problema, e da quello che possiamo vedere sul loro sito web, non è stata intrapresa alcuna azione per affrontarlo:

Sebbene il Microsoft Security Research Center abbia riconosciuto la vulnerabilità in Internet Explorer, hanno anche dichiarato che non ci sono piani immediati per correggere questa vulnerabilità nelle versioni esistenti del browser.

Inoltre, poiché l’exploit può essere implementato su IE 6-10, ci sono molte potenziali vittime là fuori e devono essere messe al corrente del problema. Fortunatamente, dove Microsoft si rifiuta di agire, altri lo fanno. Anche sulla pagina che descrive il problema, spider.io assicura agli utenti che ci sono aziende che stanno cercando di trovare una soluzione.

Il corso che Microsoft sta seguendo riguardo a questo problema è poco professionale per non dire altro, ma pensiamo che stiano solo cercando di mantenere Internet Explorer come il miglior browser per scaricare altri browser. Se questo è il caso, allora stanno facendo un ottimo lavoro! Il rapporto di bug inviato da Nick Johnson di spider.io è piuttosto esteso e descrive la vulnerabilità in dettaglio. Inoltre, ha presentato il codice per l’exploit stesso:

Speriamo che l’importanza di questo problema venga notata da più persone e più aziende di sicurezza e che venga rilasciato presto uno strumento per rendere IE sicuro per coloro che non vogliono migrare verso un buon browser.

Aggiornamento: A seguito del clamore riguardante la vulnerabilità, Microsoft ha finalmente ceduto alla pressione e ha ora chiarito che sta indagando sul problema. Insistono ancora sul fatto che il problema sottostante ha più a che fare con la concorrenza tra le aziende di analisi che con la sicurezza o la privacy dei consumatori, ma il rapporto di spider.io dipinge un quadro completamente diverso.