Wirtualna klawiatura bezpieczniejsza od tradycyjnej? Nie, jeśli używasz IE - wideo

16-12-2012, 20:18

Naciśnięcia klawiszy na zwykłej klawiaturze można przechwycić za pomocą keyloggera. Banki zalecają więc swoim klientom logowanie się przy użyciu klawiatury wirtualnej. Ruch kursora na ekranie można jednak prześledzić, wykorzystując lukę w Internet Explorerze.

Wygląda na to, że przedwcześnie pochwaliłam giganta z Redmond za usuwanie luk na bieżąco (zob. Windows 8: Ledwo się pojawił, a już wymaga łatania. Wbrew pozorom to dobra wiadomość). Z informacji podawanych przez spider.io wynika, że grupa ta jeszcze w październiku zgłosiła Microsoftowi lukę umożliwiającą śledzenie ruchu kursora, jeżeli ofiara odwiedzi stronę ze specjalnie spreparowanym skryptem, używając dowolnej wersji Internet Explorera.

Bardziej szczegółowy opis błędu znajdziemy na blogu grupy, poniżej można natomiast zobaczyć, jak wygląda jego wykorzystanie w praktyce:

Szkodliwy skrypt można użytkownikowi podsunąć np. pod postacią reklamy. Nowoczesne przeglądarki pozwalają na uruchamianie stron w kartach. Załóżmy, że na jednej z otwartych przez użytkownika witryn atakujący umieścił spreparowaną reklamę. Jeżeli ofiara, nie zamykając tej strony, odwiedzi serwis transakcyjny swego banku i zaloguje się do niego przy użyciu klawiatury wirtualnej - skrypt prześledzi ruch kursora na ekranie i przechwyci hasło.

To jeden z możliwych scenariuszy, nieraz mogliśmy się już jednak przekonać, że wyobraźnia internetowych przestępców ma daleko posunięte granice. Sprawę komplikuje fakt, że błąd występuje we wszystkich wersjach IE - od przestarzałej „szóstki” po niedawno wydaną „dziesiątkę” - a Microsoft nie spieszy się z jego załataniem. W takiej sytuacji jedynym bezpiecznym wyjściem jest korzystanie z alternatywnych przeglądarek.


Źródło: Wired UK
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930