Dito de outra forma, esta vulnerabilidade (que aparentemente foi testada desde o Internet Explorer 6 ao 10) permitiria a um terceiro obter informações de nossos movimentos do mouse, mesmo quando a janela do navegador é minimizada. A vulnerabilidade está ligada a uma das funções executadas por aplicativos Web Analytics (negócio em que se dedica a Spider.io), já que captam os movimentos do mouse do usuário para traçar mapas de calor das áreas que mais são visitadas e, assim, nortear o redesenho ou reorganização das informações. Neste caso, a vulnerabilidade poderia ser explorada inserindo um “anúncio malicioso” em um lugar da página para esconder o código que se aproveitaria da falha.
E como isso afeta o usuário? Realizar este monitoramento em uma página que apresenta ao usuário um teclado virtual (como aqueles oferecidos em alguns serviços bancários on-line) pode apresentar um risco de captura de dados de acesso, apesar de ser um cenário mais complicado, tendo em consideração que como segurança adicional muitos bancos movem a disposição das teclas desses teclados virtuais para que as posições não possam ser gravadas e, claro, o terceiro mal intencionado que coleta os dados necessita saber qual página estamos visitando.
Embora o risco seja considerável, parece que a Microsoft não viu o alerta da Spider.io como algo primordial, já que desde o alerta em outubro a gigante de Redmond não se moveu para resolvê-lo, e por isso a falha foi tornada pública agora, visando pressionar uma reação nas fileiras da Microsoft. Enquanto isso, fica o alerta para se utilizar, quando possível, outros navegadores para realizar o acesso a serviços com dados preciosos. No vídeo abaixo você confere um exemplo de como se realizaria o ataque citado nesta nota.
Nenhum comentário:
Postar um comentário