Uma nova falha de segurança do Internet Explorer permite que uma página rastreie os movimentos do cursor do mouse do usuário, mesmo se o navegador estiver minimizado. A vulnerabilidade, descoberta pelo Spider.io, possibilita que uma pessoa mal-intencionada registre interações com teclados virtuais utilizados em sites bancários, por exemplo.
A vulnerabilidade afeta todas as versões do Internet Explorer suportadas pela Microsoft, do 6 ao 10. E o maior problema pode não ser a falha em si, mas a atitude da Microsoft em relação a vulnerabilidade: o Spider.io relata que entrou em contato com a empresa para reportar o problema, mas a Microsoft simplesmente respondeu dizendo que não tinha planos imediatos para liberar uma correção.
Uma demonstração da falha pode ser encontrada nesta página. No notebook da redação, com Windows 8, Internet Explorer 10 e todas as correções de segurança aplicadas, a página detectou com precisão os movimentos do cursor do mouse e o pressionamento das teclas Ctrl, Shift e Alt. Se você redimensionar ou mover a janela do Internet Explorer, a página também reproduzirá fielmente suas ações — é algo meio assustador. No Chrome 23 e no Firefox 17, a página exibiu apenas uma imagem estática.
O código de exemplo foi disponibilizado pelo Spider.io. O site também afirma que pelo menos duas grandes empresas de publicidade que servem bilhões de anúncios por mês estão se aproveitando da falha. Logo, você pode acabar sendo rastreado mesmo que esteja com seu antivírus atualizado e sem nenhum vírus na máquina — afinal, neste caso o vírus é o próprio Internet Explorer.
Como o código funciona mesmo se o Internet Explorer estiver minimizado ou com a aba inativa, é uma boa ideia utilizar um navegador alternativo e fechar o Internet Explorer quando você for acessar algum site muito importante. Pelo menos enquanto a Microsoft não liberar a correção para a falha.
Eu sei que hoje não é dia de Joguinho viciante da semana, mas o game Steal from IE users promete dar várias horas de diversão nesta tarde entediante: o objetivo do jogo é descobrir o que o usuário do Internet Explorer está digitando no teclado virtual no menor tempo possível.