Buco in Internet Explorer, mouse tracciabile da remoto
Un malintenzionato può conoscere la posizione del puntatore anche se la finestra del browser è minimizzata. La presenza di una falla in Internet Explorer, sfortunatamente, non è una di quelle novità che sorprendono gli utenti. Tuttavia, nel caso della presunta vulnerabilità scovata nel browser di Microsoft da parte di Spider.io, la faccenda è più interessante della media. Spider.io è una società che si occupa di realizzare statistiche per siti web, in modo che i gestori possano sapere quanti visitatori sono capitati e rimasti sul sito e, soprattutto, hanno visualizzato i banner pubblicitari. Ebbene, secondo questa azienda nelle versioni di IE dalla 6 alla 10 è presente un bug che consente di conoscere da remoto la posizione del puntatore del mouse (persino quando il browser è minimizzato), e ciò rappresenterebbe un grave problema per la sicurezza delle tastiere virtuali (utilizzate, per esempio, anche per accedere a molti siti di banche). Una volta che l'esistenza di questa situazione è stata resa pubblica, Microsoft ha messo al lavoro il Security Research Center, ma ha anche precisato che - dopo essersi consultata con diversi esperti - il problema non è così grave come Spider.io lo fa sembrare. Con un post sul blog di Internet Explorer scritto dal vicepresidente Dean Hachamovitch, Microsoft ha dichiarato che perché la falla sia sfruttabile occorre che si verifichi tutta una serie di condizioni. Infatti, al di là della posizione del puntatore, un eventuale attaccante non possiede altre informazioni: non il contenuto dello schermo, non la risoluzione del monitor; diventa quindi molto improbabile che tale sistema possa essere utilizzato per portare degli attacchi.
Secondo l'azienda di Redmond dietro le parole di Spider.io non ci sono preoccupazioni per la sicurezza degli utenti, ma per la concorrenza nel settore delle aziende che realizzano statistiche per il web. Così come fanno anche altri analisti (quale Paul Henry di Lumension, che è anche più esplicito), Microsoft avanza la possibilità che Spider.io abbia sollevato il polverone semplicemente perché essa non adopera una tecnologia che si appoggia a questa cosiddetta "falla" per elaborare le proprie statistiche, mentre altri concorrenti lo fanno. Alla risposta di Microsoft e alle analisi Spider.io ha fatto seguire un ulteriore intervento sul proprio sito, in cui afferma di aver semplicemente segnalato quella che pareva una vulnerabilità degna di ulteriori indagini in quanto seriamente pericolosa. Notizia pubblicata in data : 19 Dicembre 2012 |
