Exploit Perigoso do IE Rastreia Seus Movimentos de Mouse [Atualizado]

No dia 1º de outubro de 2012, uma vulnerabilidade no Internet Explorer (das versões 6 a 10) foi submetida pela spider.io e mostrou um exploit que poderia ser usado para rastrear os movimentos do ponteiro na tela. Este exploit poderia ser utilizado por aqueles interessados em obter informações sensíveis, mesmo quando o alvo usava apenas um teclado virtual.

Embora o problema tenha sido submetido ao Microsoft Security Research Center, parece que eles não estão interessados em corrigir o problema, e ele permanece sem solução. Esta vulnerabilidade é especialmente perigosa para aqueles que usam teclados virtuais para inserir detalhes de cartões de crédito ou números de telefone.

Como isso poderia afetar os usuários do IE?

Mesmo aqueles que estão usando teclados virtuais com o propósito de contornar qualquer keylogger não estão seguros, pois o exploit rastreia o movimento e os cliques do seu mouse mesmo quando o Internet Explorer está minimizado. Os pesquisadores da spider.io criaram uma página de demonstração que mostra o exploit em ação, e também há um vídeo que mostra como é fácil aprender o que alguém está clicando em um teclado numérico.

O remetente do exploit afirmou que informou a Microsoft sobre o problema, e pelo que podemos ver em seu site, não houve ação tomada para resolvê-lo:

Embora o Microsoft Security Research Center tenha reconhecido a vulnerabilidade no Internet Explorer, também afirmaram que não há planos imediatos para corrigir essa vulnerabilidade nas versões existentes do navegador.

Além disso, como o exploit pode ser implementado no IE 6-10, há muitas vítimas em potencial por aí e elas precisam ser informadas sobre o problema. Felizmente, onde a Microsoft se recusa a agir, outros o fazem. Também na página que descreve o problema, a spider.io garante aos usuários que há empresas tentando encontrar uma solução.

A postura da Microsoft em relação a esse problema é, para dizer o mínimo, pouco profissional, mas achamos que eles estão apenas tentando manter o Internet Explorer como o melhor navegador para baixar outros navegadores. Se esse for o caso, então eles estão fazendo um trabalho terrível! O relatório de bug submetido por Nick Johnson da spider.io é bastante extenso e descreve a vulnerabilidade em detalhes. Além disso, ele apresentou o código para o exploit em si:

Esperamos que a importância desse problema seja notada por mais pessoas e mais empresas de segurança e que uma ferramenta seja lançada em breve para tornar o IE seguro para aqueles que não querem migrar para um bom navegador.

Atualização: Após a comoção em torno da vulnerabilidade, a Microsoft finalmente cedeu à pressão e agora esclareceu que está investigando o problema. Eles ainda insistem que o problema subjacente tem mais a ver com a competição entre empresas de análise do que com a segurança ou privacidade do consumidor, mas o relatório da spider.io pinta um quadro completamente diferente.