Internet Explorer verrät die Maus
Mit ein paar JavaScript-Befehlen kann jede Web-Seite im Internet Explorer den Mauszeiger verfolgen - selbst wenn sich dieser auĂźerhalb des Browser-Fensters befindet.
Die Firma Spider.io warnt davor, dass der Internet Explorer es erlaubt, die Mausposition zu ermitteln – selbst dann, wenn sich der Mauszeiger außerhalb des Browser-Fensters befindet oder dieses gar nicht angezeigt wird, sondern minimiert ist. Dies bringe die Gefahr mit sich, dass Web-Seiten etwa Eingaben sensibler Daten über virtuelle Tastaturen belauschen, warnen die Entdecker.
Das Auslesen der Mauszeiger-Koordinaten erfolgt über JavaScript-Code, der im Hintergrund durch regelmäßig ausgelöste Events (fireEvent()
) zur AusfĂĽhrung kommt. Das funktioniert laut Spider.io mit den IE-Versionen 6 bis 10; Microsoft habe man darĂĽber bereits Anfang Oktober unterrichtet.
Spider.io hat eine Demo-Seite aufgesetzt und zeigt in einem Video, wie sie die Eingabe einer Telefonnummer über die virtuelle Zifferntastatur von Skype belauschen. Angeblich sollen bereits zwei Dienstleister, die Online-Anzeigen auswerten, diesen freizügigen Umgang mit der Maus ausnutzen. Was diese genau mit der ermittelten Mauszeiger-Position anstellen, verrät Spider.io jedoch nicht.
Update 13.12.2012 16:10: Microsoft hat sich mittlerweile offiziell zu diesem Sachverhalt geäußert: Man untersuche den Fall, es gebe jedoch bislang keine Berichte zu gezielten Angriffen oder betroffenen Anwendern. "Sobald weitere Informationen vorliegen, werden wir diese bereitstellen und angemessene Maßnahmen ergreifen, unsere Kunden zu schützen" erklärt der Konzern.
2.Update 14.12.2012 14:15: Mittlerweile hat Microsoft klargestellt, dass es sich ihrer Ansicht eher um einen Wettstreit mehrerer Anbieter von Dienstleistern handelt, die die Zeit messen, die eine Anzeige tatsächlich sichtbar ist, als um ein Sicherheits- oder Datenschutzproblem. Trotzdem arbeite man daran, das Verhalten des Internet Explorer an das anderer Browser anzugleichen. (ju)