一般来说,普通种植在本地的木马,工作方式是记录用户敲击键盘的顺序,以此盗取用户的银行账号、信用卡密码等信息。但几个月之前,广告分析公司Spider.io发现,IE浏览器存在一个JS漏洞,可致用户鼠标操作的轨迹遭恶意站点追踪,这样一来许多软件的密码输入,即便采用屏幕数字软键盘,也存在账户被盗的风险。类似跟踪鼠标轨迹的木马还是第一次被大规模发现。
按照Spider.io的说法,IE的鼠标移动轨迹追踪漏洞存在于从IE6至IE10的所有版本之上,甚至也威胁到了不少平板用户。Spider.io今年10月1日的时候就将此问题呈报给了微软,微软安全研究中心也承认了此漏洞确实存在,并表示目前正在调查中并将积极处理此事。
这一漏洞的可怕之处在于,用户电脑上根本无需安装或存在任何恶意程序,黑客只需在IE用户访问的站点放置可记录鼠标移动轨迹的恶意广告,即可实现信息盗取的目的,期间没有所谓的感染过程。更重要的是,用户只要打开这样的网站,即便此IE标签或IE浏览器没有处于激活状态,用户正在使用其他程序或浏览其他站点,鼠标轨迹一样可被完整记录。
Spider.io表示IE的这一安全漏洞已经被某些广告商利用,互联网上已有至少两家广告分析公司在利用此漏洞对用户的广告浏览习惯进行追踪,而且每个月页面的浏览量过亿。所以Spider.io提醒所有IE用户需要有意识地警醒这个问题。
在Spider.io前两天向公众曝光该IE安全漏洞之后,微软方面辩称此漏洞并非只存在于IE之上,其他浏览器产品也有类似的问题,并且认为Spider.io动机不纯——Spider.io本身作为一家广告分析企业,显然是想通过这样的爆料手段击倒另外两个竞争对手。当前Spider.io仍未对此说法做出任何回应。
对用户来说,既然漏洞确实存在,不管各企业之间抱持怎样的恩怨看待此问题,当务之急还是期望微软能够及早修复此漏洞,下面的视频简单演示了整个鼠标轨迹的记录过程。微软称当前没有用户因此漏洞受到影响,但愿那些不法分子不会在听闻该爆料之后蜂拥购买不法广告位。
