665
黑客可追蹤你的鼠標軌跡
一般來說,普通種植在本地的木馬,工作方式是記錄用戶敲擊鍵盤的順序,以此盜取用戶的銀行賬號、信用卡密碼等信息。但幾個月之前,廣告分析公司Spider.io發現,IE瀏覽器存在一個JS漏洞,可致用戶鼠標操作的軌跡遭惡意站點追蹤,這樣一來許多軟件的密碼輸入,即便采用屏幕數字軟鍵盤,也存在賬戶被盜的風險。類似跟蹤鼠標軌跡的木馬還是第一次被大規模發現。
按照Spider.io的說法,IE的鼠標移動軌跡追蹤漏洞存在於從IE6至IE10的所有版本之上,甚至也威脅到了不少平板用戶。Spider.io今年10月1日的時候就將此問題呈報給了微軟,微軟安全研究中心也承認了此漏洞確實存在,並表示目前正在調查中並將積極處理此事。
這一漏洞的可怕之處在於,用戶電腦上根本無需安裝或存在任何惡意程序,黑客隻需在IE用戶訪問的站點放置可記錄鼠標移動軌跡的惡意廣告,即可實現信息盜取的目的,期間沒有所謂的感染過程。更重要的是,用戶隻要打開這樣的網站,即便此IE標簽或IE瀏覽器沒有處於激活狀態,用戶正在使用其他程序或瀏覽其他站點,鼠標軌跡一樣可被完整記錄。
Spider.io表示IE的這一安全漏洞已經被某些廣告商利用,互聯網上已有至少兩家廣告分析公司在利用此漏洞對用戶的廣告瀏覽習慣進行追蹤,而且每個月頁麵的瀏覽量過億。所以Spider.io提醒所有IE用戶需要有意識地警醒這個問題。
在Spider.io前兩天向公眾曝光該IE安全漏洞之後,微軟方麵辯稱此漏洞並非隻存在於IE之上,其他瀏覽器產品也有類似的問題,並且認為Spider.io動機不純——Spider.io本身作為一家廣告分析企業,顯然是想通過這樣的爆料手段擊倒另外兩個競爭對手。當前Spider.io仍未對此說法做出任何回應。
對用戶來說,既然漏洞確實存在,不管各企業之間抱持怎樣的恩怨看待此問題,當務之急還是期望微軟能夠及早修複此漏洞,下麵的視頻簡單演示了整個鼠標軌跡的記錄過程。微軟稱當前沒有用戶因此漏洞受到影響,但願那些不法分子不會在聽聞該爆料之後蜂擁購買不法廣告位。
最後更新:2017-04-02 22:15:46