Tracciamento del mouse con IE, rischio minimo

Microsoft ha comunicato di aver avviato un indagine sulla vulnerabilità di Internet Explorer, divulgata pochi giorni fa da Spider.io, che consente ad un malintenzionato di registrare la posizione del mouse, anche quando la finestra del browser non è attiva. Sottolineando ancora una volta che la sicurezza degli utenti rimane una delle sue priorità, l’azienda di Redmond afferma che il bug sembra essere solo un mezzo per attaccare i concorrenti piuttosto che un vero problema per la privacy.

Secondo Spider.io, tutte le versioni del browser Microsoft sono afflitte da una vulnerabilità che potrebbe compromettere la sicurezza delle tastiere virtuali, utilizzate ad esempio per inserire le credenziali di accesso ai servizi di home banking. Dean Hachamovitch, Corporate Vice President di Internet Explorer, ha promesso che presto il bug sarà corretto ma, allo stesso tempo, ha espresso alcune interessanti opinioni sulla questione.

Innanzitutto, questa “funzionalità” è presente in tutti i browser, non solo in Internet Explorer. Le aziende pubblicitarie, due delle quali avrebbero già sfruttato il bug a proprio vantaggio, inserendo il codice JavaScript nei banner, ottengono profitti in base al numero di impression, cioè al numero di pagine viste dagli utenti. Spider.io è una advertising analytics company, per cui Microsoft ritiene che la vulnerabilità di IE sia stata enfatizzata con lo scopo di attaccare i suoi concorrenti.

Secondo Hachamovitch, l’unico modo per sfruttare il bug è inserire un banner pubblicitario all’interno di un sito, sul quale l’utente effettua il login mediante la tastiera virtuale. Il rischio per la sicurezza è dunque minimo, in quanto il sito può solo rilevare lo stato del mouse, ma non può vedere il contenuto con il quale l’utente interagisce in quel momento. Finora non è stato individuato nessun exploit, né casi in cui le informazioni degli utenti siano state compromesse.