Microsoft ligt overhoop met de ontdekker van een IE-gat waarlangs op afstand muisbeweging valt te bespioneren. Volgens de IE-maker is het slechts geklaag van een webanalyticsbedrijf.
"De onderliggende kwestie heeft meer te maken met concurrentie tussen analyticsbedrijven dan met consumentenveiligheid of -privacy", stelt Microsoft in een blogpost. IE-topman Dean Hachamovitch reageert daarin op de ontdekking door webanalysebedrijf Spider.io van een gat in alle huidige versies van Internet Explorer.
Door dat gat zijn via internet de muisbewegingen van gebruikers te bespioneren, niet alleen in die browser maar in alle Windows-applicaties.
'Misbruik is te complex'
Microsoft stelt echter dat er geen sprake is van aanvallen waarbij consumenten benadeeld worden. Ontdekker Spider.io heeft de ontdekte kwetsbaarheid op 1 oktober stilletjes gemeld bij Microsoft, toen al mét de mededeling dat er actief misbruik van wordt gemaakt. Dat later opnieuw gemelde misbruik valt volgens Microsoft echter enorm mee.
Volgens de IE-maker is er geen risico voor eindgebruikers. "Het theoretische gebruik van dit [browser]gedrag om de veiligigheid en privacy van consumenten te compromitteren, is iets wat Microsofts securityteam heeft besproken met onderzoekers in de hele industrie", blogt Hachamovitch. Hij benadrukt dat Microsoft dit soort risico's heel serieus neemt, maar dat daadwerkelijk misbruik te complex is en te weinig nut heeft voor kwaadwillenden.
Webanalytics-fittie
Bovendien gaat de muisbewegingsdetectie om simpelweg een andere manier van ads-analyse, beweert Microsoft. Het is een methode die Spider.io zelf niet gebruikt, maar enkele andere webanalysebedrijven wel. De ontdekker van het muisgat zou dus puur uit eigenbelang een meetmiddel van zijn concurrenten willen saboteren.
"Verschillende analyticsbedrijven gebruiken verschillende en equivalente methodes om consumenteninformatie te vergaren over verschillende browsers op verschillende apparaten", aldus Hachamovitch. Het enige gemelde actieve gebruik van de muisspionage-methode betreft concurrenten van Spider.io, stelt de Microsoft-topman.
Via het IE-gat zijn muisbewegingen te zien, maar niet de gebruikte applicatie. Daar moet een aanvaller zelf achterkomen om echt gevoelige informatie buit te maken. Zoals het aanklikken van een wachtwoord op een virtueel toetsenbord of het kiezen van een nummer in VoIP-client Skype, wat wordt gedemonstreerd in de onderstaande video:
Bron: Webwereld
"De onderliggende kwestie heeft meer te maken met concurrentie tussen analyticsbedrijven dan met consumentenveiligheid of -privacy", stelt Microsoft in een blogpost. IE-topman Dean Hachamovitch reageert daarin op de ontdekking door webanalysebedrijf Spider.io van een gat in alle huidige versies van Internet Explorer.
Door dat gat zijn via internet de muisbewegingen van gebruikers te bespioneren, niet alleen in die browser maar in alle Windows-applicaties.
'Misbruik is te complex'
Microsoft stelt echter dat er geen sprake is van aanvallen waarbij consumenten benadeeld worden. Ontdekker Spider.io heeft de ontdekte kwetsbaarheid op 1 oktober stilletjes gemeld bij Microsoft, toen al mét de mededeling dat er actief misbruik van wordt gemaakt. Dat later opnieuw gemelde misbruik valt volgens Microsoft echter enorm mee.
Volgens de IE-maker is er geen risico voor eindgebruikers. "Het theoretische gebruik van dit [browser]gedrag om de veiligigheid en privacy van consumenten te compromitteren, is iets wat Microsofts securityteam heeft besproken met onderzoekers in de hele industrie", blogt Hachamovitch. Hij benadrukt dat Microsoft dit soort risico's heel serieus neemt, maar dat daadwerkelijk misbruik te complex is en te weinig nut heeft voor kwaadwillenden.
Webanalytics-fittie
Bovendien gaat de muisbewegingsdetectie om simpelweg een andere manier van ads-analyse, beweert Microsoft. Het is een methode die Spider.io zelf niet gebruikt, maar enkele andere webanalysebedrijven wel. De ontdekker van het muisgat zou dus puur uit eigenbelang een meetmiddel van zijn concurrenten willen saboteren.
"Verschillende analyticsbedrijven gebruiken verschillende en equivalente methodes om consumenteninformatie te vergaren over verschillende browsers op verschillende apparaten", aldus Hachamovitch. Het enige gemelde actieve gebruik van de muisspionage-methode betreft concurrenten van Spider.io, stelt de Microsoft-topman.
Via het IE-gat zijn muisbewegingen te zien, maar niet de gebruikte applicatie. Daar moet een aanvaller zelf achterkomen om echt gevoelige informatie buit te maken. Zoals het aanklikken van een wachtwoord op een virtueel toetsenbord of het kiezen van een nummer in VoIP-client Skype, wat wordt gedemonstreerd in de onderstaande video:
Bron: Webwereld