Falha de segurança grave no Internet Explorer

[ad#texto]

No final da década de 90 os usuários da recém-criada internet tinham que enfrentar um inimigo perigoso, uma classe de malware que ficou conhecida como keylogger.

Geralmente o keylooger vinha disfarçado em algum arquivo pela internet e uma vez instalado no computador do usuário ficava oculto capturando todos os toques no teclado e enviando, via email os dados capturados para alguém em algum lugar do mundo. Imagine senha e demais dados pessoais sendo capturadas assim, inclusive senhas bancarias.

O tempo passou, essa classe de malware foi contida e os teclados virtuais dos home bankings atuais tornaram o keylogger coisa do passado. Bem, até hoje.

Uma falha de segurança crítica no Internet Explorer versões 6 até o recém lançado 10 permite que uma pagina execute scripts e capture o movimento e cliques do mouse, mesmo se o Internet Explorer esteja minimizado, ou seja, uma vez executado o malware, que não precisa ser instalado, poderá capturar senhas bancarias em home bankings ou qualquer outra interação do mouse em qualquer software.

O mais preocupante é que a Spider.io, empresa que descobrir a falha de segurança entrou em contato com a Microsoft alertando sobre a gravidade da situação e como resposta obteve somente de que não estavam interessados em produzir uma solução no momento.

Falha sendo explorada. Fonte: Tecnoblog
Falha sendo explorada. Fonte: Tecnoblog

A Spider.io também afirmou que duas grandes empresas do segmento de publicidade on-line já estão se aproveitando da falha de segurança para rastrear os usuários do Internet Explorer a fim de analisar seu comportamento on-line, realmente preocupante, já que o script que gera todo o problema já está sendo divulgado em diversos canais da internet.

Enquanto somente empresas de publicidade estiverem valendo-se da falha de segurança, embora um belo chute na privacidade alheia, ainda é somente uma captura comportamental, imagine quando grupos de hackers e crackes começarem a utilizar a técnica em busca de dados sensíveis?

Para quem quiser explorar mais os detalhes técnicos da falha poderá verificar o script de exemplo que foi disponibilizado pelo Spider.io ou ainda vê-lo em ação neste site.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.