Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/12/2012
Agujero de Internet Explorer permite controlar el ratón
Un agujero de seguridad presente en todas las versiones de Internet Explorer, desde la 6 a las 10, puede ser explotado por sitios interesados en detectar el desplazamiento del puntero del ratón en la pantalla.
El agujero está presente en todas las versiones del navegador, desde las 6 a la más reciente, número 10. La información fue publicada inicialmente por el sitio spider.io y referido por la publicación The Next Web.
Según se indica, spider.io habría notificado del problema a Microsoft el 1 de octubre, pero la empresa no tendría planes inmediatos de parchear el navegador, por lo que ha optado por hacer público el problema.
En esta demostración online, es posible probar la forma en que funciona el agujero de seguridad.
La posibilidad de detectar el movimiento del puntero del ratón en la pantalla es especialmente interesante para el caso de los teclados virtuales, donde el usuario debe hacer clic en determinados botones con el fin de digitar palabras o códigos.
Este procedimiento es empleado para dificultar la labor de los keyloggers que de esa forma quedan incapacitados de detectar lo que el usuario escribe en el teclado. Sin embargo, en este caso es posible detectar los movimientos del ratón, y así obtener la misma información.
Según la fuente, el procedimiento es posible incluso sin instalar malware en la computadora, debido a que Internet Explorer detecta y registra por cuenta propia los movimientos del ratón.
Para hacer posible el ataque, el intruso sólo necesita comprar un anuncio en un sitio que el usuario visita. Mientras la página esté abierta es posible registrar los movimientos del ratón.
Esto se aplica incluso cuando el usuario se encuentre en otra pestaña, se cambie a otra ventana o incluso minimice la ventana del navegador.
Spider.io describe al menos dos empresas de publicidad online que ya aprovechan la vulnerabilidad para espiar a sus usuarios.
También han colgado un video en Youtube donde se describe el procedimiento y las posibilidades que éste brinda. En este caso, se está utilizando el programa Skype.