Privacy a rischio col Win Media Player

A dirlo Ŕ un noto esperto di sicurezza che fa notare come alcune versioni del player di Microsoft rendano possibile tracciare gli utenti da parte dei siti Web. Con la complicitÓ di Internet Explorer. Ma l'azienda ribatte

Privacy a rischio col Win Media PlayerWeb - Una tecnologia di identificazione integrata in Windows Media Player (WMP) potrebbe consentire ai siti Web di tracciare gli utenti. A lanciare l'allarme Ŕ un noto esperto di sicurezza, Richard M. Smith, che ha dimostrato come sia possibile per un sito Web, attraverso poche righe di JavaScript, impadronirsi del un numero unico identificativo assegnato di default dal WMP ad ogni macchina e inserito nel registro di Windows.

"Ogni sito su Internet pu˛ accedere al vostro numero di ID usando un po' di JavaScript. Questo Ŕ un grave problema per la privacy", ha detto Smith, CEO della societÓ di consulenza Privacy Foundation.

Microsoft si difende sostenendo di aver rilasciato una patch a maggio che permette agli utenti di modificare le impostazioni del WMP in modo che l'ID incriminato non resti fisso ma cambi dinamicamente ad ogni sessione di Internet Explorer: in particolare, a partire dal WMP 6.4 patchato (e tranne la versione 7.0, che va obbligatoriamente aggiornata alla 7.1) sarebbe possibile, secondo il big di Redmond, porre rimedio al problema disabilitando la voce "Consenti ai siti Internet di identificare in modo univoco il lettore multimediale".
Smith sostiene per˛ che questa opzione risulta ancora attivata di default sia nelle versioni patchate del player sia nella pi¨ recente versione 7.1, continuando dunque a rappresentare un grave rischio per quella stragrande maggioranza di utenti che non si preoccupano di modificare le impostazioni avanzate del proprio player.

Quello che Ŕ ancora pi¨ grave, sostiene Smith, Ŕ che questa sorta di "supercookie" che Ŕ il numero ID di WMP continua ad essere accessibile anche se si Ŕ installata l'ultima versione di Internet Explorer 6.

"Microsoft si Ŕ sforzata parecchio di aggiungere a Internet Explorer vari controlli sulla privacy - ha spiegato Smith - ma a quanto pare questa back-door riesce totalmente ad aggirarli".

Smith sostiene che i siti sono in grado di catturare l'user ID di WMP a causa di una falla nell'interfaccia ActiveX del player, una vulnerabilitÓ che consentirebbe all'ID di essere letto attraverso un comando chiamato "ClientID".

Questo ID, che Microsoft aveva inizialmente inserito nel WMP per permettere ai fornitori di contenuti di poter disporre di statistiche di accesso e utilizzo, potrebbe in futuro rendersi ancor pi¨ necessario come parte del sistema di digital rights management per l'acquisto di musica ed altri contenuti via Internet. A dirlo Ŕ Russ Cooper, boss della firma di sicurezza TruSecure, che si Ŕ per˛ anche detto speranzoso che nel frattempo Microsoft offra maggiore possibilitÓ di controllo agli utenti in merito a quali siti possono accedere al loro ID.
TAG: sicurezza
34 Commenti alla Notizia Privacy a rischio col Win Media Player
Ordina
  • Ora.
    Siamo d'accordo che Windows e in generale i prodotti M$ (in tutte le loro versioni) siano bacati...a volte più, a volte meno di altri SO e applicazioni...
    Quello che non capisco è: ok, è una fessereia (?) lasciare quell'opzione on di default...ma a me, IMHO (a scanso di equivoci) pare il problema sia un altro...Nessuno ha il diritto di entrare nel mio/nostro computer!
    Se lascio la porta di casa aperta, sarò pure fesso, ma questo non autorizza chiunque ad entrare dentro e a rubare!
    Si sta sparando a zero su M$ senza tener presente che il "criminale" è chi sfrutta queste "porte aperte", non chi le lascia aperte!
    E questo a prescindere dal fatto che se vendi un SO e accessori al prezzo di Win2000/XP, ci si aspetta che fesserie del genere non ci siano...
    Mah...

    Tutto ciò, obviously, IMHO...
    non+autenticato


  • - Scritto da: spino
    > lasciare quell'opzione on di
    > default...ma a me, IMHO (a scanso di
    > equivoci) pare il problema sia un
    > altro...Nessuno ha il diritto di entrare nel
    > mio/nostro computer!

    Ben detto!

    > E questo a prescindere dal fatto che se
    > vendi un SO e accessori al prezzo di
    > Win2000/XP, ci si aspetta che fesserie del
    > genere non ci siano...
    > Mah...

    Invece sarà proprio il caso di aspettarsele.


    Cmq anche s esi toglie no nsi risolve granché; l'unica è usare il WMP quando non si è connessi a internet!


    non+autenticato
  • La maledetta chiave è presente anche altrove. Nel mio registro l'ho trovata in:
    HKEY_CURRENT_USER \\\\SOFTWARE \\\\MICROSOFT \\\\MEDIA PLAYER\\\\PLAYER\\\\SETTINGS\\\\CLIENT ID

    Anche lì c'è lo stesso codice dell'UniqueID di WMP. Modificandolo opportunamente la pagina test su:
    http://www.computerbytesman.com/privacy/supercooki...

    non mostra più l'UniqueID.
    Si svela però un dato inquietante. Proprio sotto questa chiave ce ne è un'altra:

    OpenDir "C:\Programmi\Morpheus\Db"

    Che c'entra Morpheus con WMP? e soprattutto perché in una chiave di registro di un programma Microsoft c'è un'altra chiave che si riferisce a una cartella di un programma non Microsoft? Vuoi mica dire che WMP va automaticamente a scansionare la cartella che contiene i log di Morpheus (ma chi gli ha detto che io ho Morpheus?), leggendone magari tutto il contenuto (e se si prova a leggere in ASCI i file data*.dbb qui contenuti si scopre che tutto è segnato: titoli, annotazioni, date, orari, utenti, anche dei tentativi non andati a termine) e potendoli associare alla sua fottutissima UniqueID? E cosa ne fa poi di questa associazione? Ma se lo fa con Morpheus chissà che non lo faccia anche con altri sistemi di file-sharing? Oppure Morpheus è Microsoft? Puta caso WMP si apre di default in modalità connessa (infatti va sulla Media Guide), e infatti Zone Alarm lo becca regolarmente che tenta di connettersi. Quindi, cosa si connette a fare? Per leggere gli aggiornamenti dalla rete o per spedire sulla rete i SUOI ultimi aggiornamenti alla CIA-Micro$ozz?
    non+autenticato
  • ...un'applicazione MS con problemi di sicurezza?
    non si era mai visto...
    non+autenticato
  • A quanto pare la Microsoft colpisci ancora!!
    ...inizio ad avere il sospetto che tutti questi bug non siano affatto casuali, e che anche se rimediano con delle patch, il danno e la beffa rimangono!!!   ...SI !! perchè vorrei sapere quanti di noi sono costantemente aggiornati sui continui rilasci da parte della cara software-house ??!!

       un cordiale saluto a tutti i lettori ed allo
    staff tecnico di Punto-Informatico, che pemette a noi lettori di esprimerci e di saperne ogni giorno qualcosa in più !!!
    non+autenticato


  • - Scritto da: Makx78
    > A quanto pare la Microsoft colpisci ancora!!
    > ...inizio ad avere il sospetto che tutti
    > questi bug non siano affatto casuali, e che
    > anche se rimediano con delle patch, il danno
    > e la beffa rimangono!!!   ...SI !! perchè
    > vorrei sapere quanti di noi sono
    > costantemente aggiornati sui continui
    > rilasci da parte della cara software-house
    > ??!!
    >
    >     un cordiale saluto a tutti i lettori ed
    > allo
    > staff tecnico di Punto-Informatico, che
    > pemette a noi lettori di esprimerci e di
    > saperne ogni giorno qualcosa in più !!!

    dove sta scritto che questo e' un bug?
    secondo: perche' ogni cosa che riguardi MS va sempre in prima pagina?
    i calciatori italiani in inghilterra dicono di vivere meglio perche' c'e' meno pressione e possono passeggiare tranquillamente per le strade.
    Il successo ha un prezzo.
    Ogni cosa che farai finira' sotto i riflettori.
    Anche se si tratta di un banale problema di dns come quello di windows update.

    ciao
    non+autenticato


  • - Scritto da: maks
    >
    > Anche se si tratta di un banale problema di
    > dns come quello di windows update.

    perché la microsoft si è arrogata la posizione di monopolista nel software.

    in pratica il 93 % e rotti di pc dipendono da ms.

    vuoi gli onori?

    ok, ma non ti dimenticare che ci sono anche gli oneri

    non+autenticato
  • > > Anche se si tratta di un banale problema
    > di
    > > dns come quello di windows update.
    >
    > perché la microsoft si è arrogata la
    > posizione di monopolista nel software.
    >
    > in pratica il 93 % e rotti di pc dipendono
    > da ms.
    >
    > vuoi gli onori?
    >
    > ok, ma non ti dimenticare che ci sono anche
    > gli oneri
    >

    sono d'accordo
    ecco perche' le opinioni vanno ponderate.
    E' ovvio che appariranno molti piu' articoli sui
    problemi dei prodtti MS rispetto a quelli di AS400 (ammesso che ne abbia mai avuti).
    Questo non vuol dire per forza che OGNI prodotto MS sia solo un covo di bug e spyware.

    ciao
    non+autenticato


  • - Scritto da: maks
    > > ok, ma non ti dimenticare che ci sono
    > anche
    > > gli oneri
    > >
    >
    > sono d'accordo

    su cosa?

    sul afato che microsoft sia un monopolio?

    > Questo non vuol dire per forza che OGNI
    > prodotto MS sia solo un covo di bug e
    > spyware.

    quindi tu metteresti la mano sul fuoco sulla onestà di QUALCHE prodotto del monopolista, che evidentemente conosci per sicuro.

    Si vede che qualcuno t'ha dato una dritta.

    Ma il "popolo" queste informazioni non le ha.

    fidarsi non e SEMPRE bene.



    non+autenticato
  • > > > ok, ma non ti dimenticare che ci sono
    > > anche
    > > > gli oneri
    > > >
    > >
    > > sono d'accordo
    >
    > su cosa?
    >

    che MS deve prendersi anche tutte le critiche che gli arrivano senza lamentarsi.

    > sul afato che microsoft sia un monopolio?
    >
    > > Questo non vuol dire per forza che OGNI
    > > prodotto MS sia solo un covo di bug e
    > > spyware.
    >
    > quindi tu metteresti la mano sul fuoco sulla
    > onestà di QUALCHE prodotto del monopolista,
    > che evidentemente conosci per sicuro.
    >
    > Si vede che qualcuno t'ha dato una dritta.
    >
    > Ma il "popolo" queste informazioni non le ha.
    >
    > fidarsi non e SEMPRE bene.
    >

    non conosco per sicuro nessun prodotto.
    Ma metterei la mano sul fuoco per quelli che uso abitualmente.
    Li uso, non perche' targati MS, ma perche' sono quelli con cui mi sono trovato meglio fino ad oggi.
    SQL Server e' uno di quelli, exchange non lo e' ad esempio.
    Anzi, se posso lo sconsiglio.

    ciao
    non+autenticato
  • default ??? anzi perche dovrebbe esistere una voce simile ???

    "Consenti ai siti Internet di identificare in modo univoco il lettore multimediale".

    ????
    non+autenticato


  • - Scritto da: blah
    > default ??? anzi perche dovrebbe esistere
    > una voce simile ???
    >
    > "Consenti ai siti Internet di identificare
    > in modo univoco il lettore multimediale".

    tu non lo sai, io non lo so (ma posso immaginarlo), ma stai sicuro che zeross, dark water, Ciao e maks ti sapranno dare una valida e ineccepibile risposta che anzi esaltera' in positivo questa interessante feature.
    non+autenticato
  • >ma stai sicuro che zeross,
    > dark water, Ciao e maks ti sapranno dare una
    > valida e ineccepibile risposta che anzi
    > esaltera' in positivo questa interessante
    > feature.
    che spreco di neuroni e di bandwith pero
    ;-0)

    non+autenticato
  • - Scritto da: munehiro
    >
    > tu non lo sai, io non lo so (ma posso
    > immaginarlo), ma stai sicuro che zeross,
    > dark water, Ciao e maks ti sapranno dare una
    > valida e ineccepibile risposta che anzi
    > esaltera' in positivo questa interessante
    > feature.


    Spiacente, ma ignoro il motivo di questa funzione (e non mi interessa nemmeno)... mica posso sapere tutto!


    Zeross
    non+autenticato
  • > > default ??? anzi perche dovrebbe esistere
    > > una voce simile ???
    > >
    > > "Consenti ai siti Internet di identificare
    > > in modo univoco il lettore multimediale".
    >
    > tu non lo sai, io non lo so (ma posso
    > immaginarlo), ma stai sicuro che zeross,
    > dark water, Ciao e maks ti sapranno dare una
    > valida e ineccepibile risposta che anzi
    > esaltera' in positivo questa interessante
    > feature.

    dici a me ?Sorride
    ma ti pare che per sentire gli mp3 io uso wmp?
    cmq, ammesso e non concesso che questo id venga rilevato, cosa ci si fa?
    non credo esista un modo di incrociare ID -> dati utente.
    E' come avere un cookie.
    Anche i cookie sono abilitati per default.

    ciao
    non+autenticato

  • > cmq, ammesso e non concesso che questo id
    > venga rilevato, cosa ci si fa?
    > non credo esista un modo di incrociare ID ->
    > dati utente.


    forse non ancora, ma a qualcuno si sono accese le spie rosse neuroniche quando ha visto durante, l'installazione di IE6, il browser arrancare cercando il modem per scaricare il certificato d'identità di WM dal sito MS?

    Ciao   
    non+autenticato

  • >
    > forse non ancora, ma a qualcuno si sono
    > accese le spie rosse neuroniche quando ha
    > visto durante, l'installazione di IE6, il
    > browser arrancare cercando il modem per
    > scaricare il certificato d'identità di WM
    > dal sito MS?
    >

    cosa c'entra un certificato d'identita' (che dovrebbe garantire la provenienza del prodotto)?
    non+autenticato

  • Io la chiamerei "arrampicata sugli specchi". Ficoso
    non+autenticato


  • Come disse la volpe che non riusciva a raggiungere l'uva.

    P.S. Hai disabilitato i cookie, nel tuo WB, vero?
    non+autenticato


  • - Scritto da: munehiro
    ....
    > tu non lo sai, io non lo so (ma posso
    > immaginarlo), ma stai sicuro che zeross,
    > dark water, Ciao e maks ti sapranno dare una
    > valida e ineccepibile risposta che anzi
    > esaltera' in positivo questa interessante
    > feature.

    c.v.d.   Sorride
    non+autenticato
  • Questo è scritto a fine notizia: "Questo ID, che Microsoft aveva inizialmente inserito nel WMP per permettere ai fornitori di contenuti di poter disporre di statistiche di accesso e utilizzo, potrebbe in futuro rendersi ancor più necessario come parte del sistema di digital rights management per l'acquisto di musica ed altri contenuti via Internet. A dirlo è Russ Cooper, boss della firma di sicurezza TruSecure, che si è però anche detto speranzoso che nel frattempo Microsoft offra maggiore possibilità di controllo agli utenti in merito a quali siti possono accedere al loro ID."

    Se finiste di leggere....
    non+autenticato