Keylogger

Hier geht es doch darum dass man Anhand des Mauszeigers eine virtuelle Tastatur und die Eingaben darauf "erahnen" kann, wenn eine Webseite die Mausbewegungen analysiert.

Nur hätte ein Keylogger doch auf Windows-Ebene mindestens dieselben Möglichkeiten und könnte sich vermutlich sogar an die Klick-Events hängen.

Und jetzt ist es also nicht nur so dass die virtuelle Tastatur nix gegen Keylogger bringt, sie sorgt auch noch dafür dass Webseiten die Eingaben analysieren könnten.

Das ist ja ziemlich blöd für manch paranoiden Menschen da draussen ;)

Benutzer wird von Ihnen ignoriert. Anzeigen

Emulex schrieb:
--------------------------------------------------------------------------------
> Nur hätte ein Keylogger doch auf Windows-Ebene mindestens dieselben
> Möglichkeiten und könnte sich vermutlich sogar an die Klick-Events hängen.

1. muss der Keylogger erstmal auf den Rechner kommen und laufen.
2. Eventhooks funktionieren nur, wenn man kein UAC eingeschaltet hat.

> Und jetzt ist es also nicht nur so dass die virtuelle Tastatur nix gegen
> Keylogger bringt, sie sorgt auch noch dafür dass Webseiten die Eingaben
> analysieren könnten.
>
> Das ist ja ziemlich blöd für manch paranoiden Menschen da draussen ;)

Ach? Wenn man keine Angst hat, passiert auch nix? Geile Logik. :)

Benutzer wird von Ihnen ignoriert. Anzeigen

Ich halte das Szenario aber in der Praxis auch für wenig gefährlich. Schließlich weiß man als Angreifer ja nicht was der User gerade sonst noch offen hat, ob er überhaupt was macht oder ob er es je macht, geschweige denn wo es auf dem Screen positioniert ist, egal ob als fliegendes Fenster, 50/50 oder im Fullscreen. Das sind viel zu viele Ungewissheiten für einen Angriff, wenn man die Position des Ziels nicht kennt.

Deren Demo klappt ja auch nur weil sie ihre Fenster genau nebeneinander anordnen und auch wissen, was genau geöffnet ist. Wären die Fenster links und rechts vertauscht, ginge das Demo schon ins Leere. Und wenn es nicht mal Klickevents oder Buchstabeneingaben abfangen kann, ist es für Angreifer noch unbrauchbarer.

Benutzer wird von Ihnen ignoriert. Anzeigen

fratze123 schrieb:
--------------------------------------------------------------------------------
> Emulex schrieb:
> ---------------------------------------------------------------------------
> -----
> > Nur hätte ein Keylogger doch auf Windows-Ebene mindestens dieselben
> > Möglichkeiten und könnte sich vermutlich sogar an die Klick-Events
> hängen.
>
> 1. muss der Keylogger erstmal auf den Rechner kommen und laufen.
> 2. Eventhooks funktionieren nur, wenn man kein UAC eingeschaltet hat.
>

1. Wenn ich ne virtuelle Tastatur benutze, gehe ich ja davon aus dass einer drauf sein/kommen könnte.
2. UAC ist das erste was ich ausschalte nach der Installation eines Windows ab Vista ;)

> > Und jetzt ist es also nicht nur so dass die virtuelle Tastatur nix gegen
> > Keylogger bringt, sie sorgt auch noch dafür dass Webseiten die Eingaben
> > analysieren könnten.
> >
> > Das ist ja ziemlich blöd für manch paranoiden Menschen da draussen ;)
>
> Ach? Wenn man keine Angst hat, passiert auch nix? Geile Logik. :)

Das hab ich nicht gesagt und ich bin ja selber relativ paranoid was Tracking angeht.
Deshalb auch der Zwinkersmiley.

Benutzer wird von Ihnen ignoriert. Anzeigen

Naja beim Benutzen einer virtuellen Tastatur sind die Mauswege schon recht verräterisch.
Und wenn du nun das Muster analysierst an den Stellen an denen die Maus stehenbleibt, kannst du ganz sicher herleiten was getippt wurde.

Benutzer wird von Ihnen ignoriert. Anzeigen

> 1. Wenn ich ne virtuelle Tastatur benutze, gehe ich ja davon aus dass einer
> drauf sein/kommen könnte.
> 2. UAC ist das erste was ich ausschalte nach der Installation eines Windows
> ab Vista ;)

Das würde sich aber wiedetsprechen.
davon ausgehen das potentiell gefahr besteht, aber allem freien lauf lassen.
Wenn man sich keinen kopf macht dann braucht man keine virtuelle tastatur.

Benutzer wird von Ihnen ignoriert. Anzeigen