위험한 IE 취약점, 마우스 움직임 추적 [업데이트]

2012년 10월 1일, 인터넷 익스플로러(6~10 버전)의 취약점이 spider.io에 의해 제출되었으며, 이는 화면에서 포인터 움직임을 추적하는 데 사용될 수 있는 익스플로잇을 보여주었습니다. 이 익스플로잇은 대상이 가상 키보드만 사용하더라도 민감한 정보를 얻으려는 사람들에 의해 사용될 수 있습니다.

이 문제는 Microsoft 보안 연구 센터에 제출되었지만, 그들은 문제를 해결하는 데 관심이 없는 것처럼 보이며, 여전히 해결되지 않은 상태입니다. 이 취약점은 가상 키보드를 사용하여 신용 카드 세부정보나 전화번호를 입력하는 사람들에게 특히 위험합니다.

IE 사용자에게 어떤 영향을 미칠 수 있을까요?

키로거를 우회하기 위해 가상 키보드를 사용하는 사람들조차 안전하지 않습니다. 이는 익스플로잇이 인터넷 익스플로러가 최소화되어 있을 때에도 마우스의 움직임과 클릭을 추적하기 때문입니다. spider.io의 연구자들은 익스플로잇이 작동하는 모습을 보여주는 데모 페이지를 만들었으며, 누군가가 다이얼 패드에서 클릭하는 내용을 얼마나 쉽게 알 수 있는지를 보여주는 비디오도 있습니다.

익스플로잇의 제출자는 이 문제에 대해 Microsoft에 알렸다고 밝혔으며, 그들의 웹사이트에서 볼 수 있는 바에 따르면, 이를 해결하기 위한 조치는 취해지지 않았습니다:

Microsoft 보안 연구 센터는 인터넷 익스플로러의 취약점을 인정했지만, 기존 버전의 브라우저에서 이 취약점을 패치할 즉각적인 계획이 없다고 밝혔습니다.

게다가, 익스플로잇이 IE 6-10에서 구현될 수 있기 때문에, 많은 잠재적 피해자들이 있으며 그들은 이 문제를 인식해야 합니다. 다행히도 Microsoft가 조치를 취하지 않는 곳에서 다른 사람들이 하고 있습니다. 문제를 설명하는 페이지에서도 spider.io는 사용자에게 해결책을 찾으려는 회사들이 있다고 보장합니다.

이 문제에 대한 Microsoft의 접근 방식은 적어도 비전문적이며, 그들이 인터넷 익스플로러를 다른 브라우저를 다운로드하는 최고의 브라우저로 유지하려고 하는 것이라고 생각합니다. 만약 그렇다면, 그들은 훌륭한 일을 하고 있습니다! spider.io의 Nick Johnson이 제출한 버그 보고서는 꽤 광범위하며, 취약점의 세부 사항을 설명합니다. 또한, 그는 익스플로잇 자체의 코드를 제시했습니다:

우리는 이 문제의 중요성이 더 많은 사람들과 보안 회사들에 의해 인식되기를 바라며, IE를 안전하게 만들기 위한 도구가 곧 출시되기를 바랍니다.

업데이트: 취약점을 둘러싼 소란 이후, Microsoft는 마침내 압력에 굴복하여 이 문제를 조사하고 있다고 밝혔습니다. 그들은 여전히 근본적인 문제가 소비자 안전이나 개인 정보 보호보다는 분석 회사 간의 경쟁과 더 관련이 있다고 주장하지만, spider.io의 보고서는 전혀 다른 그림을 그리고 있습니다.