Hackers kunnen op afstand muisbewegingen van Windows-gebruikers bespioneren dankzij een gat in Internet Explorer. IE6 tot en met 10 zijn kwetsbaar. Microsoft heeft geen patchplannen.

Via een malafide webpagina zijn de muisbewegingen op een Windows-pc op te vangen en op afstand te repliceren. Het gaat hierbij niet alleen om muisbeweging op die webpagina of in de browser, maar op de hele pc. Dit dankzij een kwetsbaarheid in de in Windows geïntegreerde webbrowser Internet Explorer.
Systeembrede muisspionage

Deze spionage van de muiscursor werkt ook als de Microsoft-browser niet het actieve venster is, dus niet op de voorgrond of geheel geminimaliseerd. Hiermee is de gebruikersinvoer op on-screen toetsenborden af te tappen. Dat type virtuele toetsenbord (ook als nummertoetsenbord voor invoering van pin-codes) wordt vaak juist gebruikt ter voorkoming van 'afluisteren', door bijvoorbeeld keyloggers, schrijft de Britse editie van techmagazine Wired.

De kwetsbaarheid zit in alle versies van IE; van het antieke 6 tot en met de nieuwste versie 10 die vooralsnog alleen in Windows 8 zit. Deze datalekkage door IE is ontdekt door webanalyticsbedrijf Spider.io. Die heeft de kwestie op 1 oktober aangekaart bij Microsoft en komt er nu mee naar buiten.
'Wordt al actief misbruikt'

De ontdekkers willen met hun publieke bekendmaking gebruikers waarschuwen voor dit gevaar. Het security-centrum van Microsoft erkent de kwetsbaarheid namelijk wel, maar heeft op het moment geen plannen om dit gat te dichten. Voor nuttig misbruik moet een aanvaller wel weten welke applicatie of website een gebruiker momenteel actief bedient, met zijn of haar muis.

Dat hoeft in de praktijk geen grote horde te zijn. "De kwetsbaarheid wordt al misbruikt door tenminste twee display-ad analytics-bedrijven, op miljarden page-impressies per maand", stelt Spider.io. Een live demonstratie draait op de site van dit bedrijf. Deze proof-of-concept vereist natuurlijk wel bezoek met IE.