Considerando que nós podemos passar horas navegando na grande rede, a segurança do navegador utilizado é uma questão-chave, porque além de ser utilizado para acesso às contas de e-mail, também abre as portas dos aplicativos corporativos ou página do banco. São muitos os aplicativos web que, para evitar keyloggers instalados nos computadores dos usuários, apresentam teclados virtuais para clicarmos com o mouse, no entanto, a empresa Spider.io parece ter encontrado uma vulnerabilidade em todas as versões do Internet Explorer que permitiria a um terceiro monitorar os movimentos do mouse do usuário e poderia representar riscos para os utilizadores de teclados virtuais.
Dito de outra forma, esta vulnerabilidade (que aparentemente foi testada desde o Internet Explorer 6 ao 10) permitiria a um terceiro obter informações de nossos movimentos do mouse, mesmo quando a janela do navegador é minimizada. A vulnerabilidade está ligada a uma das funções executadas por aplicativos Web Analytics (negócio em que se dedica a Spider.io), já que captam os movimentos do mouse do usuário para traçar mapas de calor das áreas que mais são visitadas e, assim, nortear o redesenho ou reorganização das informações. Neste caso, a vulnerabilidade poderia ser explorada inserindo um “anúncio malicioso” em um lugar da página para esconder o código que se aproveitaria da falha.
E como isso afeta o usuário? Realizar este monitoramento em uma página que apresenta ao usuário um teclado virtual (como aqueles oferecidos em alguns serviços bancários on-line) pode apresentar um risco de captura de dados de acesso, apesar de ser um cenário mais complicado, tendo em consideração que como segurança adicional muitos bancos movem a disposição das teclas desses teclados virtuais para que as posições não possam ser gravadas e, claro, o terceiro mal intencionado que coleta os dados necessita saber qual página estamos visitando.
Embora o risco seja considerável, parece que a Microsoft não viu o alerta da Spider.io como algo primordial, já que desde o alerta em outubro a gigante de Redmond não se moveu para resolvê-lo, e por isso a falha foi tornada pública agora, visando pressionar uma reação nas fileiras da Microsoft. Enquanto isso, fica o alerta para se utilizar, quando possível, outros navegadores para realizar o acesso a serviços com dados preciosos. No vídeo abaixo você confere um exemplo de como se realizaria o ataque citado nesta nota.
http://www.youtube.com/watch?v=qxUa2VWnE8A
