Pages

Wednesday, 30 January 2013

揭發微軟IE瀏覽器漏洞!駭客側錄游標行蹤盜取密碼


微軟IE瀏覽器有個漏洞能讓駭客追蹤滑鼠游標在螢幕上的動作,這個漏洞可能會暴露從虛擬鍵盤輸入的資訊。

虛擬鍵盤和虛擬小鍵盤可以用來降低鍵盤側錄軟體記錄鍵盤敲擊動作,從而讀取密碼的風險。不過分析公司 Spider.io發現第六到第十版的IE瀏覽器會讓滑鼠游標在螢幕上的行蹤無所遁形,即使火狐瀏覽器的附加元件IE tab也無法倖免於難。你可以從嵌入本篇文章內的影片示範中看到這個漏洞的效果。

只要使用IE瀏覽器就會被記錄

這個漏洞引起很多顧慮是因為,就算電腦中沒有安裝任何側錄程式,只要使用IE瀏覽器就會讓滑鼠動作被記錄下來。駭客買下任何網頁上的顯示廣告(display advertising)(編按:網頁上跳脫文字之外,靜態或動態的廣告)欄位之後,只要在含有廣告的頁面開啟時,就可以追蹤滑鼠的動作。

Spider.io在10月的時候向微軟提報這個漏洞問題,不過現在這個漏洞已經是公開的秘密。微軟安全研究中心認為這是個漏洞,不過也表示沒有任何馬上修補這項漏洞的計畫。Spider.io表示,部分網路分析公司已經開始利用這項漏洞來追蹤滑鼠游標的動作。

網站頁面廣告效益研究揭漏洞

Spider.io的Douglas de Jager解釋道,他們在研究廣告在網站頁面上的位置時,發現這項漏洞。研究可見度的原因是,某些聲名狼籍的廣告業者會將其他的廣告放在網站框架以外的地方。

舉例來說,有時候我們造訪網站的時候會發現某些影片在網站以外的頁面不斷播放,這表示廣告商付錢提高他們的影片點閱率,但使用者卻沒有真的完全看到這些影片。一般來說,測量廣告可見度有兩種方法:

方法之一就是使用幾何測量方法(geometric approach),比較廣告的四個角落和網站頁面的相對距離,以及比較瀏覽器視點(viewpoint)的四個角落和網頁的相對距離。另一個稍微不一樣的方法是比較廣告跟螢幕邊緣的距離,而不是比較廣告跟網站頁面邊緣的距離。

不過當廣告嵌在「不友善」或是跨網域的內置框架(inline frame或iframe)(編按:也就是在網頁上嵌入框架,框架內可以放入其他網頁的內容)時,幾何測量方法的效力甚微。第二種方法就是監測瀏覽器的最佳化:監測瀏覽器如何分配資源給廣告,就可以知道有多少比例的廣告是使用者實際上看得到的,而這就是Spider.io使用的方法。

IE瀏覽器的問題出在瀏覽器本身使用的幾何測量方法會顯示出滑鼠游標相對於廣告以及螢幕邊緣的位置,這讓網路分析公司和駭客可以確認滑鼠游標的所在位置。



from WIRED.tw http://wired.tw/2013/01/31/ie-vulnerability-mouse-tracking/index.html