IE-bug detecteert jouw muisbewegingen
Een bug in IE (versies 6 t/m 10) zorgt ervoor dat een kwaadwillende je muisbewegingen kan registreren. Wanneer je keyloggers te slim af denkt te zijn door een virtueel toetsenbord te gebruiken, kom je door deze bug in Internet Explorer bedrogen uit.
Met een keylogger kun je de toetsaanslagen van een gebruiker registreren zodat cybercriminelen zien wat voor wachtwoord je intikt. Wanneer je achter een onbekende computer zit (bijvoorbeeld in een internetcafé) kun je er dus vaak beter voor kiezen om een virtueel toetsenbord te gebruiken waarop je met je muis op virtuele toetsen klikt voor pincodes, telefoonnummers en wachtwoorden. Er is nu echter een bug waarmee gebruikers van Internet Explorer ook op die manier niet veilig zijn. Je kunt zelf een demo proberen op http://iedataleak.spider.io/demo of bekijk de video hieronder:
Niet voorbehouden aan schimmige websites
De muisbewegingen worden dus over het hele scherm waargenomen zelfs als IE zelf geminimaliseerd is weergegeven. De code kan in een banner op een site geplaatst worden en zolang die pagina openstaat, maakt niet uit in welk tabblad, kan de muis worden gedetecteerd. De adverteerder (of cybercrimineel) moet wel weten op welke pagina de banner met code staat, zodat het ook de layout van de pagina kent en daardoor weet waar de gebruiker allemaal met de muis naar navigeert. Doordat advertenties vaak een plek in een soort carrousel koopt die op vele pagina’s worden getoond, kan de banner overal opduiken, dus ook op legitieme websites als YouTube.
IE-bug wordt nu al gebruikt
Een aantal maanden werd deze bug ontdekt door analysebedrijf Spider.io en aangemeld bij Microsoft maar die zou geen onmiddellijke plannen hebben om de bug, die erkend wordt, te verhelpen. We hebben daar ook geen patch voor gezien tijdens Patch Tuesday. Spider.io weet te melden dat dit lek al gebruikt wordt door adverteerders en dat ze er daarom voor gekozen te hebben dit lek naar buiten te brengen.
[Via: The Next Web]