Опасная уязвимость IE отслеживает движения вашей мыши [Обновлено]

1 октября 2012 года уязвимость в Internet Explorer (версии с 6 по 10) была представлена spider.io, и она показала эксплойт, который может быть использован для отслеживания движений указателя на экране. Этот эксплойт может быть использован теми, кто заинтересован в получении конфиденциальной информации, даже когда цель использует виртуальную клавиатуру.

Хотя проблема была представлена в Центр исследований безопасности Microsoft, похоже, что они не заинтересованы в исправлении этой проблемы, и она остается нерешенной. Эта уязвимость особенно опасна для тех, кто использует виртуальные клавиатуры для ввода данных кредитной карты или номеров телефонов.

Как это может повлиять на пользователей IE?

Даже те, кто использует виртуальные клавиатуры с целью обойти любые кейлоггеры, не в безопасности, потому что эксплойт отслеживает движения и клики вашей мыши даже когда Internet Explorer минимизирован. Исследователи из spider.io создали демонстрационную страницу, которая показывает эксплойт в действии, и есть также видео, которое демонстрирует, как легко узнать, на что кто-то нажимает на цифровой клавиатуре.

Отправитель эксплойта заявил, что они проинформировали Microsoft о проблеме, и судя по тому, что мы видим на их сайте, никаких действий предпринято не было:

Хотя Центр исследований безопасности Microsoft признал уязвимость в Internet Explorer, они также заявили, что в настоящее время нет планов по исправлению этой уязвимости в существующих версиях браузера.

Более того, поскольку эксплойт может быть реализован на IE 6-10, существует множество потенциальных жертв, и их нужно осведомить о проблеме. К счастью, там, где Microsoft отказывается действовать, другие делают это. Также на странице, описывающей проблему, spider.io уверяет пользователей, что есть компании, которые пытаются найти решение.

Курс, который Microsoft принимает в отношении этой проблемы, по меньшей мере непрофессионален, но мы думаем, что они просто пытаются сохранить Internet Explorer как лучший браузер для загрузки других браузеров. Если это так, то они делают потрясающую работу! Отчет об ошибке, представленный Ником Джонсоном из spider.io, довольно обширен и описывает уязвимость в деталях. Также он представил код для самого эксплойта:

Мы надеемся, что важность этой проблемы будет замечена большим количеством людей и большими компаниями по безопасности, и что скоро будет выпущен инструмент, который сделает IE безопасным для тех, кто не хочет переходить на хороший браузер.

Обновление: После шума вокруг уязвимости Microsoft наконец поддалась давлению и теперь уточнила, что она расследует этот вопрос. Они по-прежнему настаивают на том, что основная проблема больше связана с конкуренцией между аналитическими компаниями, чем с безопасностью или конфиденциальностью потребителей, но отчет spider.io рисует совершенно другую картину.