Internet Explorer, il mouse può essere tracciato

Microsoft ha rilasciato martedì sera sette bollettini di sicurezza, ma non ha risolto una grave vulnerabilità scoperta all’inizio di ottobre da Spider.io che riguarda tutte le versioni di Internet Explorer. Il bug consente ad un malintenzionato di registrare i movimenti del cursore del mouse sullo schermo, anche se la finestra del browser è minimizzata. Gli utenti che utilizzano spesso tastiere o keypad virtuali non dovrebbero quindi utilizzare Internet Explorer finché non verrà distribuita una patch.

Spider.io afferma che il Microsoft Security Research Center è a conoscenza della vulnerabilità, ma per il momento non è stato pianificato il rilascio di un aggiornamento per Internet Explorer. La stessa azienda di Redmond consiglia di utilizzare la tastiera virtuale (tastiera su schermo in Windows 7), in quanto un eventuale keylogger presente nel sistema può rilevare solo la digitazione sulla tastiera fisica. Il bug del browser, invece, permette di tracciare l’attività dell’utente, anche in assenza di software dannoso.

Un malintenzionato potrebbe acquistare un piccolo spazio per l’advertising su un sito web e nascondere il codice JavaScript che rileva la posizione del cursore del mouse, così come i tasti Shift, Control e Alt. Il tracciamento avviene anche se la finestra del browser non ha il focus o se la tab corrente non è attiva. Spider.io sostiene che questo bug viene attualmente sfruttato da due aziende pubblicitarie che generano miliardi di impression al mese.

[youtube]http://www.youtube.com/watch?v=qxUa2VWnE8A[/youtube]

La vulnerabilità potrebbe dunque compromettere la sicurezza delle tastiere e dei keypad virtuali. Gli utenti che utilizzano Internet Explorer (tutte le versioni, dalla 6 alla 10) corrono il rischio di inviare online password e i dati della carta di credito. Spider.io ha creato un pagina specifica che mostra come viene registrata la posizione del cursore.