Nyt hul i Internet Explorer lader hackere aflure dine musebevægelser

Et sikkerhedshul i de fem seneste udgaver af Internet Explorer gør det muligt for en webside at registrere dine musebevægelser i alle åbne programmer. Microsoft har ingen planer om at lukke hullet i browseren.

Med lidt Javascript på en hjemmeside - eller bare i en iframe, for eksempel i en bannerreklame - kan andre holde øje med, hvordan du bevæger markøren rundt på skærmen, hvis du har Internet Explorer kørende.

Det har det britiske webanalysefirma Spider.io fundet frem til, og fortalte allerede 1. oktober Microsoft om problemet. Men da Microsoft ikke har tænkt sig at lappe hullet i den nærmeste fremtid, har Spider.io nu valgt at offentliggøre alt, så Internet Explorer-brugere er klar over problemet.

Det skriver Spider.io i et officielt blogindlæg.

Sårbarheden, som kan udnyttes i Internet Explorer fra version 6 til 10, lader kode på en hjemmeside holde øje med dine musebevægelser konstant - også selvom vinduet med Internet Explorer er minimeret. Og problemet er især, at hackere vil kunne bruge denne registrering til at ’kigge med’, når man taster koder ind via et virtuelt tastatur.

På grund af faren for keyloggere, som gemmer sig på en computer og registrerer alle tryk på tastaturet, vælger nogle at indtaste kodeord via musetryk på bogstaver på skærmen. Men denne ekstra sikkerhedsforanstaltning kan altså også spores, man bruger Internet Explorer, pointerer Spider.io.

Firmaet kender til to reklamebureauer, som udnytter denne funktion i Internet Explorer ved at lægge lidt ekstra Javascript-kode i bannerne. Dermed kan reklamebureauerne opfange, hvordan Internet Explorer-brugerne lader deres mus bevæge sig rundt på andre hjemmesider.

Du kan se en online-demonstration af problemet (kræver Internet Explorer) eller en video-demonstration herunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Nicolai Hansen

Er meget enig med Dan Kaminsky her: http://dankaminsky.com/2012/12/14/mouse/ - det er bestemt en fejl at fx en 1*1px iframe kan følge musen på hele skærmen, men er det noget man skal være bange for? Deres video viser jo hvordan det kan "exploites", men det kræver at man ved hvor skærmtasteturet er (det kan jo flyttes rundt), at man ved hvordan dets form er (der findes jeg mange forskellige programmer), at man kender tastetur layoutet (sprog), at personen uafbrudt skriver på tasteturet og så får man jo ingen "click events" så i bedste fald skal man kigge på hvornår persones mus 'stopper op' for at klikke (og selv da kan man ikke vide om der bliver klikket én gang, to gange eller måske tre gange?).

Fejl: Ja Farligt exploit: Nej

  • 0
  • 3
#4 Johnnie Hougaard Nielsen

men det kræver at man ved hvor skærmtasteturet er (det kan jo flyttes rundt), at man ved hvordan dets form er

Der skal ikke mange bevægelser til før disse ting nemt kan udledes, især da sikkerheden ikke behøver være 100%. Sprog er ofte ikke det store problem at kende, og der er altså ikke brug for lang tids skrivning. To tryk på samme tast vil i praksis vise sig i rytmen, i forhold til andre bevægelser.

Når det bliver brugt til særligt sikkerhedskrævende ting (for at omgå keyloggere), vil det også sige at det dermed er særligt interessant, og en særdeles realistisk vej til at opfange adgangskoder.

Så svært er det heller ikke, når blot der opnås adgang til en maskine hvor der bruges et virtuelt tastatur.

  • 2
  • 1
#7 Johnnie Hougaard Nielsen

Sikke dog en gang tågesnak, når det ligefrem skal blive til at bruge en masse ord på reklamefirmaers indbyrdes status, og at skælde ud på budbringeren. En spade er en spade, og Microsoft var da ellers blevet bedre til at rette op på fejl, sammenlignet med for ikke så mange år siden.

  • 2
  • 3
#8 Nicolai Hansen

Der skal ikke mange bevægelser til før disse ting nemt kan udledes, - Det du ikke tænker på, er at den bevægelse som udgør selve indtastningen formentligt udgør meget mere end 1% af musens bevægelse (du aner som angriber jo ikke hvornår koden bliver tastet ind, det kunne være sekundet efter en ond webframe er loaded, eller det kan være en time senere). At finde den éne procent ud af en stor mængde data er væsentligt svære end du tror. Ydereligere ved du stadig ikke hvor tasteturet er placeret (eller hvornår der klikkes.

især da sikkerheden ikke behøver være 100%. - ?

Sprog er ofte ikke det store problem at kende, og der er altså ikke brug for lang tids skrivning. - Sporg er, som jeg skrev, bare éen faktor blandt mange som gør det svære. Og ja efter noget tids skrivning kan man sikkert sagtens regnes sig frem til koden, men nu er idéen med et skærmtastetur jo ikke at man skal skrive en hel skole stil, man skriver sit kodeord og 'færdig deal'. Det er, som jeg skrev før, kun en meget lille del af musens bevægelse som går til selve indtastningen af kodeordet.

To tryk på samme tast vil i praksis vise sig i rytmen, i forhold til andre bevægelser. - Hvor tit skriver du på et skærmtastetur vs et rigtigt? Jeg har tit set at folk leder efter tasterne på et skærmtastetur, da man ikke har samme "rytme" som når man skriver i fingrene. Dét gør at man får en meget 'ustabil' rytme når man skriver på et skærmtastetur og en analyse vil altså være meget svær.

Når det bliver brugt til særligt sikkerhedskrævende ting (for at omgå keyloggere), vil det også sige at det dermed er særligt interessant, og en særdeles realistisk vej til at opfange adgangskoder. Så svært er det heller ikke, når blot der opnås adgang til en maskine hvor der bruges et virtuelt tastatur. - Helt enig med den første del, men det ville da være fuldstænding idiotisk at bruge denne metode hvis man kunne "opnå adgang". De fleste (vil skyde på 75%) af alle 'moderne' keyloggere har jo en indbygget "anti-skærmtastetur" modul indbygget. Enten injekter den noget kode ind i skærmtasteturet (som opfanger alle tast), ellers tager den et screenshot hver gang man klikker (hvilket gør at man rent faktisk kan se hvad der bliver klikket på, vs at skulle gætte på det ud fra et mønster).

  • 1
  • 1
#9 Johnnie Hougaard Nielsen

Det med at sikkerheden ikke behøver at være 100% er nok kernepunktet i at vi ser så forskelligt på risikoen. Pointen er at der selvfølgelig er mere end blot små usikkerheder ved at aflæse et skærmtastatur via pointer bevægelser, men hvis det handler om en angriber som vil aflure adgangskoder, gør det ikke noget om en del indtastninger ikke opfanges, eller der er et par falske detekteringer. Heller ikke eventuel usikkerhed omkring enkelte tryk spolerer den grundlæggende vinkel at der kan skaffes input til ganske "kvalificerede" gæt på adgangskoder. Denne sikkerhedsfaktor gennemhulles selv om det "kun" lykkedes at fange en femtedel.

Når jeg afviser sprog som en besværlighed af betydning er det fordi der slet ikke er brug for "nogen tids skrivning", men blot at se på IP adressen. Der er jo en meget stærk kobling mellem lande og tastatur layouts, og selv om der måske er et par steder hvor der bruges en 2-3 varianter, er det stadig noget hvor det kun kræver et par ekstra forsøg for den som vil udnytte koden.

Jeg mener at du overdriver vanskeligheden ved at detektere på basis af bevægelserne, men differencen kommer nok i nogen grad af min pragmatiske holdning om at der langt fra er brug for 100% sikkerhed omkring at opsnappe "interessante" ting.

Selvfølgelig har folk ikke samme "rytme" ved skrivning på et skærmtastatur, men det er ikke ensbetydende med at der ingen rytme er, og som pointeret er det ikke noget problem om det ikke lykkedes hele tiden. Derfor er det ikke så svært endda.

Og som allerede pointeret skal der ikke ret mange af de ganske karakteristiske zig-zag bevægelser til før der er god sandsynlighed for at sige "aha", her er der et skærmtastatur. En del spil vil give lignende mønstre, men vil hurtigt "afsløre" sig gennem andre dimensioner (altså antal taster lodret og vandret).

Argumentet om keyloggere (og anden installeret malware) er da ikke forkert, men er blot uden betydning. Det er nemlig rigtigt at det ubehagelige ved afluring af skærmtastaturer via noget kode som Internet Explorer kører fra en skjult frame er at det også rammer nogen som har god hygiejne omkring hvad der bliver installeret af software, og ikke kan nås via malware-spredning.

I dette tilfælde kræver god sikkerhedshygiejne altså at undlade at bruge IE, eller eventuelt at lukke browseren totalt før der bruges noget hvor et skærmtastatur er en vigtig del af sikkerheden.

Som ved mange andre sikkerhedsproblemer kræves der at kunne koble det opsnappede med andre stumper af viden om den enkelte bruger, men den brede åbenhed af dette hul gør det særligt "sjovt" at en masse andre elementer af "sikker PC kultur" let og elegant omgås.

Så jeg ser ingen argumenter for at bruge IE på en maskine hvor der forventes at kunne bruge skærmtastaturer på en sikker måde.

  • 2
  • 1
#10 Finn Aarup Nielsen

Det kunne lyde som et ganske interessant Master Thesis projekt indenfor machine learning at skulle genkende indtastninger ud fra musebevægelser. Folk der arbejder med eye tracking (og musedynamik-baseret authentication) må have en del erfaring med lignende problemstilling.

Login-systemer baseret på musebevægelser er i problemer.

Musebevægelser benyttes tilsyndeladende også biometrisk. Med sikkerhedshullet vil det således kunne lade sig gøre for reklamebureauet/hackeren at finterprinte brugeren. Man kunne endda forstille sig en telemedicinske anvendelse hvor musebevægelserne anvendes diagnostisk med eller uden brugerens viden. Diagnose: Du benytter IE og har vist problemer med dit striale dopamin. :-)

  • 1
  • 0
Log ind eller Opret konto for at kommentere