Una vulnerabilidad en Internet Explorer permite rastrear los movimientos del ratón

Un fallo de seguridad ha sido descubierto en Internet Explorer por una pequeña compañía de Reino Unido especializada en análisis web llamada Spider.io, que permite rastrear los movimientos que hacemos con el ratón en la pantalla. Afectaría desde la versión 6 hasta el recientemente liberado Internet Explorer 10.

Uno de sus principales peligros radica en el tipo de teclados utilizados en páginas en las que se proporciona información personal, como los bancos virtuales. Muchas de las páginas web bancarias imponen un teclado virtual en la pantalla que obliga al usuario a pinchar sobre cada carácter, en vez de escribir la contraseña desde el teclado. Este sistema protege la privacidad de los datos frente a numerosos virus (keyloggers), pero se descubre vulnerable ante el seguimiento del ratón.

¿Cómo funciona? Lo único que tiene que hacer un atacante para aprovecharse de esta vulnerabilidad es comprar un anuncio/banner en una web que visitemos. Puede ser YouTube, un diario online, da igual, cualquier página que muestre ese banner. Mientras tengamos esa ventana abierta, incluso si está minimizada, al otro lado pueden ver y almacenar los movimientos del ratón sobre la pantalla. Es una trampa muy similar al phishing, que combinado con técnicas adicionales como el CSS history hack, haría posible conocer el historial de navegación del usuario, sabiendo en cada momento, sobre que páginas se están aplicando esos movimientos del ratón.

Microsoft ha dado su visión del asunto en uno de sus blogs corporativos reconociendo la existencia de la vulnerabilidad pero de momento no tiene planes inmediatos de lanzar una actualización, a pesar de que la compañía Spider.io, ha hecho público que dos grandes agencias de publicidad online están ya aprovechando el fallo, para saber si los anuncios que insertan son vistos o no por los internautas, aunque de momento, dicen, no pueden desvelar los nombres.

Video demostrativo de esta vulnerabilidad proporcionado por la compañía Spider.io.

REFERENCIAS:

Anuncios

Acerca de sadcastelao

Blog Seguridad Informática

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: