Wirtualna klawiatura bezpieczniejsza od tradycyjnej? Nie, jeśli używasz IE - wideo

16-12-2012, 20:18

Naciśnięcia klawiszy na zwykłej klawiaturze można przechwycić za pomocą keyloggera. Banki zalecają więc swoim klientom logowanie się przy użyciu klawiatury wirtualnej. Ruch kursora na ekranie można jednak prześledzić, wykorzystując lukę w Internet Explorerze.

Wygląda na to, że przedwcześnie pochwaliłam giganta z Redmond za usuwanie luk na bieżąco (zob. Windows 8: Ledwo się pojawił, a już wymaga łatania. Wbrew pozorom to dobra wiadomość). Z informacji podawanych przez spider.io wynika, że grupa ta jeszcze w październiku zgłosiła Microsoftowi lukę umożliwiającą śledzenie ruchu kursora, jeżeli ofiara odwiedzi stronę ze specjalnie spreparowanym skryptem, używając dowolnej wersji Internet Explorera.

Bardziej szczegółowy opis błędu znajdziemy na blogu grupy, poniżej można natomiast zobaczyć, jak wygląda jego wykorzystanie w praktyce:

Szkodliwy skrypt można użytkownikowi podsunąć np. pod postacią reklamy. Nowoczesne przeglądarki pozwalają na uruchamianie stron w kartach. Załóżmy, że na jednej z otwartych przez użytkownika witryn atakujący umieścił spreparowaną reklamę. Jeżeli ofiara, nie zamykając tej strony, odwiedzi serwis transakcyjny swego banku i zaloguje się do niego przy użyciu klawiatury wirtualnej - skrypt prześledzi ruch kursora na ekranie i przechwyci hasło.

To jeden z możliwych scenariuszy, nieraz mogliśmy się już jednak przekonać, że wyobraźnia internetowych przestępców ma daleko posunięte granice. Sprawę komplikuje fakt, że błąd występuje we wszystkich wersjach IE - od przestarzałej „szóstki” po niedawno wydaną „dziesiątkę” - a Microsoft nie spieszy się z jego załataniem. W takiej sytuacji jedynym bezpiecznym wyjściem jest korzystanie z alternatywnych przeglądarek.


Źródło: Wired UK
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31