Aktuelles zu einem vermeintlichen Informations- und Sicherheitsproblem bezüglich der Mausposition
In den letzten Tagen haben wir Berichte über den vermeintlichen Missbrauch eines bestimmten Browserverhaltens erhalten, das das Auslesen der Mausposition ermöglicht. Microsoft arbeitet hinsichtlich dieses Sachverhalts eng mit anderen Unternehmen zusammen. Das Problem lässt sich nach unserem derzeitigen Wissensstand vornehmlich auf den Wettbewerb zwischen Web Analytics-Unternehmen zurückführen und betrifft weder die Sicherheit des Benutzers noch den Datenschutz.
Wir passen dieses Verhalten derzeit in IE an. Andere Browser verfügen über ähnliche Funktionen. Web Analytics-Unternehmen können den Anzeigebereich von IE ebenso erfassen wie bei anderen Browsern. Wir aktualisieren diesen Blogbeitrag, sobald weitere Informationen zur Verfügung stehen.
Onlinewerbeanbieter möchten bei Analysen zunehmend (Link) anstelle der geschalteten Anzeigen, jene Anzeigen in Betracht ziehen, die dem Benutzer tatsächlich angezeigt werden. In diesem Bereich herrscht ein Wettbewerb zwischen zahlreichen unterschiedlichen Web Analytics-Unternehmen. Dieser Wettbewerb und die damit verbundenen Rechtsstreitigkeiten (Link) haben für großes öffentliches Interesse gesorgt. Spider.io, ein in diesem Bereich tätiges Unternehmen, meldete kürzlich ein Problem in IE bezüglich Mauszeigerinformationen. Spider.io ist ein Werbeanalyseunternehmen. Im aktuellen Blogbeitrag „There are two ways to measure ad viewability. There is only one right way.“ wird der Standpunkt des Unternehmens deutlich. Andere Web Analytics-Unternehmen verwenden abweichende Methoden, um Benutzerinformationen in unterschiedlichen Browsern auf unterschiedlichen Geräten zu sammeln, die jedoch gleichwertige Ergebnisse erbringen.
Die einzig gemeldete aktive Verwendung dieses Verhaltens betrifft Konkurrenten von Spider.io. Theoretisch kann dieses Verhalten die Sicherheit und den Datenschutz von Benutzern gefährden. Das Sicherheitsteam von Microsoft hat das Verhalten daher mit Fachleuten aus der Branche erörtert. Wir nehmen diese Risiken sehr ernst. Es ist nur schwer zu glauben, dass alle notwendigen Bedingungen zur Vorteilnahme dieses Verhaltens erfüllt werden können – eine Anzeige auf einer Website zu schalten, für die eine Anmeldung erforderlich ist, die Verwendung einer Bildschirm- bzw. virtuellen Tastatur von Seiten des Benutzers und das Wissen um die Funktionsweise dieser Bildschirmtastatur. Untersuchungen speziell zu dem Verhalten, bei dem sich Mauspositionsdaten auch außerhalb des Browserfensters auslesen lassen, haben ergeben, dass Websites nur die Mausposition erfassen können. Die eigentlichen Inhalte, die der Benutzer verwendet, sind von der Anzeige ausgeschlossen. Ausgehend von unseren Gesprächen mit Sicherheitsexperten der Branche können wir feststellen, dass derzeit nur ein geringes Risiko für Benutzer besteht. Wie bereits erwähnt sind uns keine Fälle bekannt, bei denen der Datenschutz von Benutzern beeinträchtigt wurde.
– Dean Hachamovitch, Corporate Vice President, Internet Explorer
Update:
Die folgenden, nach der Veröffentlichung unseres Beitrags erschienenen Beiträge auf Sicherheitsblogs bieten eine gute und ausgewogene Übersicht zu diesem Thema: Actionable Intelligence: The Mouse That Squeaked und Spider.io Warns of Massive IE Security Flaw; But is it Legit?