Dela via


Atualização para problema de segurança e informações encontrado com o comportamento de posição do mouse

Nos últimos dias, recebemos relatórios alegando abuso do comportamento do navegador em relação à posição do mouse. A Microsoft está trabalhando juntamente com outras empresas para lidar com o problema no movimento de posição do mouse. Pelo que sabemos até agora, o problema subjacente está mais relacionado com a competição entre empresas de análise do que com a privacidade ou segurança do consumidor.

Estamos trabalhando ativamente para ajustar esse comportamento do IE. Há funcionalidades similares disponíveis em outros navegadores. As firmas de análise podem realizar a detecção de ponto de vista no IE de forma similar a dos outros navegadores. Atualizaremos o blog com mais informações conforme estiverem disponíveis.

Os anunciantes online começaram uma mudança (link) “de impressões ‘servidas’ para ‘visualizáveis’.” Muitas empresas de análise se aprimoraram para competir nesse espaço. Essa competição gerou muitos resultados públicos, incluindo processos judiciários (link). Uma das empresas envolvidas nesse espaço é a Spider.io, que relatou recentemente um problema no IE envolvendo informações de mouse e ponteiro. A Spider.io é uma empresa de análise de publicidade. Sua recente postagem, “There are two ways to measure ad viewability. There is only one right way”, deixa bem claro seu ponto de vista. Empresas de análise diferentes usam métodos equivalentes e diferentes para reunir informações de consumidores em diferentes navegadores e dispositivos.

O único uso ativo relatado desse comportamento envolve competidores do Spider.io fornecendo análises. O uso teórico desse comportamento para comprometer a segurança e a privacidade dos consumidores é algo que a equipe de segurança da Microsoft discutiu com os pesquisadores de todo o setor. Levamos esses riscos a sério. Conseguir que todas as peças se encaixem para tirar proveito desse comportamento - oferecer publicidade a um site que solicita um logon, o usuário que usa um teclado na tela (ou virtual), sabendo como o teclado na tela funciona - é difícil de imaginar. Pela investigação do comportamento específico quando os dados de posição do mouse estão visíveis fora da janela do navegador, os sites podem exibir apenas o estado do mouse. Eles não conseguem exibir o conteúdo real com que o usuário está interagindo. Com nossas conversas com os pesquisadores de segurança em todo o setor, observamos pouco risco para o consumidor neste momento. Como dissemos anteriormente, não há casos relatados de consumidores que tiveram as informações comprometidas.  

―Dean Hachamovitch, vice-presidente corporativo, Internet Explorer

Atualização:
desde o momento desta postagem, outros blogs de segurança forneceram uma visão geral boa e equilibrada sobre o tópico: Actionable Intelligence: The Mouse That Squeaked e Spider.io Warns of Massive IE Security Flaw; But is it Legit?