Slabina Internet Exploreru umožňuje sledovat kurzor

Detaily zranitelného místa zveřejnila ve středu anglická společnost Spider.io. Generální ředitel Spider.io Douglas de Jager řekl, že chybu už nějaký čas využívají minimálně dvě velké reklamní společnosti. Proužkové reklamy by měly být významným zdrojem zisku, ale jen pár lidí reklamu otevře, a tak je těžké změřit, zda mají reklamy na zákazníka vliv. Proužky jsou většinou placeny poplatkem za tisíc zobrazení, který je známý jako CPM.

Reklamy však mohou být umístěné na spodní části webu, kam se uživatel nikdy nepodívá. Chyba v Internet Exploreru umožňuje umístit reklamy upravené speciálním kódem JavaScriptu, který dokáže zjistit, zda reklamu někdo zhlédl. Inzerenti se snaží pomocí zneužití této slabiny zjistit, zda je reklama dobře viditelná. Dvě společnosti už kvůli této nečekané funkčnosti zařadily média, u kterých se reklama nezobrazuje podle jejich představ, na černou listinu. „Tuto funkčnost tedy používají k určení toho, které médium je „dobré“ a které „špatné“,“ vysvětlil de Jager.

Společnost Spider.io uvedla, že Microsoft na problém upozornila 1. října. Microsoft vzal chybu na vědomí, ale v nejbližší době se na její opravu nechystá. Tento problém ovlivňuje všechny verze prohlížeče od IE6.

Společnost chybu objevila v průběhu své práce a později zjistila, že jí někteří zadavatelé reklamy zneužívají ke sledování reklam, řekl de Jager. Dodal, že nedávno mluvil s jednou významnou reklamní společností v New Yorku, která o chybě věděla, rozhodla se však, že ji nezneužije. „Je to bitva intelektuálního vlastnictví o to, kdo dokáže zajistit nový způsob měření.“

Pokud je škodlivá reklama otevřená, třeba i v minimalizovaném okně, může sledovat pohyb kurzoru. Ale má i další rizika – mohla by sbírat informace, které uživatel zadává pomocí softwarové nebo virtuální klávesnice, která je často využívána jako prevence před softwarem, který dokáže zaznamenat úhozy kláves.