Internet Explorer plaudert Maus-Position aus

Könnte etwa zum "Mitlesen" von per Maus eingegebenen Zahlencodes genutzt werden

Vor einem bislang unbekannten Problem in Microsofts Internet Explorer warnt nun der Sicherheitsdienstleister Spider.io. Wie das Unternehmen herausgefunden hat, lässt sich über den Browser nämlich die lokale Mausposition auslesen - und dies selbst außerhalb des eigentlichen Browserfensters.

Demonstration

Wie einfach das geht, demonstriert das Unternehmen auf einer eigenen Seite: Über einfachen Javascript-Code lässt sich der Mauszeiger kontinuierlich verfolgen. Eine Seite könnte damit etwa an per Bildschirmtastatur eingegebene, sensible Informationen kommen, wie Spider.IO auch in einem Video vorzeigt.

Zudem soll diese Methode nicht nur rein theoretischer Natur sein, angeblich wird sie bereits von zwei Werbedienstleistern zur Analyse genutzt. Was diese mit den solcherart erstandenen Daten anstellen, bleibt allerdings bislang offen. Von dem Problem betroffenen sind alle gebräuchlichen Internet-Explorer-Versionen, also von IE6 bis IE10. (red, derStandard.at, 13.12.12)

Share if you care
Posting 1 bis 25 von 28
1 2

um tastaturanschläge vermeiden zu können (keylogger) bietet netbanking von der sparkasse zB die möglichkeit, auf einer eingeblendeten tastatur mittels maus zu klicken. somit wäre diese methode zumindest über den browser kompromittiert.

Na ja, wenn diese Tastatur auf der Webseite der Bank erscheint (was ich vermute), dann können Sie die Mausposition ja mit *jedem* Browser auslesen.

Das ist aber halb so tragisch, weil dazu müssten Sie zusätzlich den Javascript-Code zum Auslesen *auf* die Webseite der Bank bekmmen (was nur mit einer Cross-Site-Skripting Lücke möglich wäre -- und wenn Ihnen das gelingt, dann haben Sie ganz andere Möglichkeiten, Schaden anzurichten).

Ich will MS jetzt nicht in Schutz nehmen, aber mir fällt tatsächlich kaum ein Szenario ein, wo man das sinnvoll verwenden kann. Die Bildschirmtastatur bei Tablets? Auch dazu muss das JS ja auf der entsprechenden Seite selbst sein, also wieso nicht gleich die Tastaturanschläge selbst loggen? Die Position anderer Anwendungen kennt man ja nicht -- wie kommt man also an verwertbare Infos?

richtig

Zum Glück verwendet die angesprochene virtuelle Tastatur von der Sparkasse ein zufällig generiertes Tasten Layout. Somit wäre bei diesem Service ein solch ein Angriff wirkungslos.

hey Leute ...

was soll das? Jeder Browser muss im entferntesten Sinne die Position des Mauszeigers kennen und bei Bedarf "ausplaudern"; sonst würde ja zB der Klick auf einen Link nicht wirklich funktionieren. Und was das etwaige Übergeben der Parameter/Daten an einen anderen Client oder ein Applet betrifft, so hängt das eher von den Plug-Ins und nicht direkt vom Browser ab. ZB verwenden viele Flash-Dingsbumse die "hover mouse over" Funktion, dann gibt's zB im .NET Framework auch eine Funktion die angibt, ob sich der Mauszeiger innerhalb oder außerhalb des aktiven Fensters bewegt. Es gibt wirklich 1000000derte Situationen in denen ein Programmteil (pardon eine ÄPP) wissen MUSS, wo und in welchem Zustand sich der Mauszeiger gerade befindet!

dass der code, der in einem browser ausgeführt wird, weiß wo außerhalb des browsers der cursor gerade ist brauch ich jetzt genau in welchem use case?

Äh, data tainting.
Es geht da wohl um die host-basierende security-domain, die hier im allgemeinen immer gilt.

1000000derte ???

ja aber doch nicht außerhalb des fensters mit fokus. es sollten außerhalb des eigenen fensters eigentlich nicht mal mehr onmove-events bei der applikation ankommen.

Nur gut, dass ich einen Trackball und keine Maus habe.

Heatmaps

nicht mehr und nicht weniger. Wilkommen in der Web Analyse.

ist ja toll

falls ich mal die Maus nicht mehr finden kann, frag ich den IE

Das kann mein Gnome/Compiz bei Bedarf, aber ohne den Exploit ;o)

Truecrypt

Soweit ich weiß muss man für z.b. Truecrypt für die Herstellung eines Verschlüsselten Laufwerks den Mauszeiger wie wild hin und herbewegen, um eine Zufallszahl zu bekommen. Damit wird dann das Laufwerk verschlüsselt. Wenn der IE im Hintergrund läuft, dann wars das mit dem Zufall....Oder?
Bitte um Antworten!

Ich vermute, dass die Mauszeigerbewegung (u.u. gemeinsam mit anderen nicht leicht vorhersagbaren Elementen wie der Uhrzeit) als sog. “seed“ für den Zufallszahlenalgorithmus verwendet wird, da in Software realisierte Zufallszahlengeneratoren nur pseudozufällig sind und bei gleichem Ausgangswert (also dem “seed“) die selbe Sequenz an “Zufalls“zahlen liefern.

Damit das hier ein Problem wird, müsste man also ganz genau wissen, welche Teile der Mausbewegung wie verwendet werden, ob noch andere Faktoren (Systemzeit o.ä.) eine Rolle spielen, und welcher Algorithmus dann damit wie geseedet wird.
Nicht unmöglich, aber hart bis extrem unwahrscheinlich, hier einen Angriff zu starten.

nein wars nicht:
1. Dahinter rennt immer nochn Algorithmus der mit der Zufallszahl (was halt nur ein kleiner Teil des key ist) rechnet.
2. kann zwar die Position des Cursors abgefragt werden, die bewegungsabläufe zum erstellen des Keys werden auf einer ganz anderen Detailstufe benutzt.
3. Wäre es trotzdem notwendig, extrem viel über die Methode von truecrypt zu wissen, ums cracken zu
können.

kann mir schon vorstellen, dass Werbefirmen mit solchen Daten etwas anfangen.

so sieht man vielleicht wo man am besten Werbung platzieren kann und die meisten (unabsichtlichen) Klicks hervorgerufen werden

Nein.

Weil Werbebanner können nur *auf* der Website positioniert werden, nicht *neben* dem IE-Fenster. Und die Mausposition auf der Website selbst können Sie bei JEDEM Browser abfragen (was auch notwendig ist).

Dieses Argument zielt also ins Leere.

verdammt

jetzt weiss jeder, dass meine Maus rechts von der Tastatur ist

Microsoft will also nur wissen

wie hoch der Linkshänder-Anteil ist.

Solange damit nicht auf deine politische Einstellung geschlossen wird... ;o)

Wie das Unternehmen herausgefunden hat, lässt sich über den Browser nämlich die lokale Mausposition auslesen - und dies selbst außerhalb des eigentlichen Browserfensters.

Internet Explorer meiden ist eine Entscheidung gegen Konzern-Überwachung und Diktatur!

So langsam müssten den MitbürgerInnen die Augen aufgehen. Ansonsten, wenn es so weitergeht in der IT dürfen die in 10 Jahren keine Gedenkfeiern mehr für Fas.chis.mus-Opfer abhalten!!

Für alle Spakos

Es gibt mehr Browser als nur IE oder Chrome!

Aber wir sehen hier sehr gut, wie immerwährende Werbepropaganda schon wirkt .. ist ja wie in der Politik ...

Uije.

Das ist jetzt wirklich eine der allerharmlosesten Sicherheitslücken, die ich mir bei einem Browser vorstellen kann. Alle Broser haben davon in der Vergangengheit einen ganzen Haufen wesentlich schwerwiegendere gehabt, manche mehr, manche weniger.

Kein Grund, hier den Untergang des Abendlandes herbeizureden.

Aber nennen Sie mir bitte ein einziges Szenario, wo das auch nur annähernd ein Problem ist. Denn: die Position auf der Website selbst können Sie bei JEDEM Browser auslesen. Und was sich wo NEBEN dem IE-Fenster befindet, wissen Sie ja beim besten Willen als Angreifer nicht, außer dem Windows-Knopf. Also, Angriffszenario bitte.

vermutlich haben's statt dessen chrome installiert, oder wie?

Gott was bist den du für ein Diletant? Bei solchen Leuten merkt man halt mal wieder wie der schöne Lebensstandard hier die Birne aufweicht. Wenn ich im Bereich Browserwahl Wörter wie Diktatur les...

Posting 1 bis 25 von 28
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.