Le pericolose rivelazioni di MSN Messenger

Un esperto sostiene che con poche righe di codice si possono estorcere a MSN Messenger informazioni sull'utente e sulla rubrica. I dettagli

Roma - In un messaggio inviato alla mailing-list di sicurezza BugTraq, Richard Burton ha rivelato una "funzionalità" di MSN Messenger che potrebbe costituire un pericolo per la privacy degli utenti.

Burton ha infatti scoperto che attraverso poche righe di Javascript o di VBscript è possibile ottenere, attraverso Internet Explorer, il nickname di un possessore di MSN Messenger (o, se non ne ha nessuno, l'indirizzo e-mail) e quello di tutti gli utenti contenuti nella sua rubrica. Se la pagina è ospitata presso uno dei domini microsoft.com, hotmail.com o hotmail.msn.com, MSN Messenger pare "disposto" a rivelare anche gli indirizzi e-mail dell'utente e dei suoi contatti.

Se la cosa risulta già di per sé abbastanza "inquietante", visto che dà facilmente accesso a Microsoft o a suoi partner alla rubrica di MSN Messenger, per trasformare questa sorta di funzionalità in una grave falla per la privacy basta modificare, stando a quanto sperimentato da Burton, una voce nel registro di Windows.
La chiave del registro HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ MessengerService \ Policies \ Suffixes (potrebbe essere necessario creare la voce "Suffixes") può infatti essere modificata da programmi aggressivi per inserirvi i suffissi di quei siti che possono avere accesso a nick ed e-mail del possessore di MSN Messenger e dei suoi conoscenti: nel caso estremo, aggiungendo ad esempio il suffisso "com", tutti i domini commerciali potranno ottenere queste informazioni attraverso una pagina Web contenente qualche riga di script.

Di default questa chiave è vuota ma, secondo Burton, potrebbe essere modificata da qualsiasi programma aggressivo: un software di tipo spyware, o adware, potrebbe ad esempio ottenere la lista di e-mail attraverso un semplice banner contenuto sul proprio sito.

Un esempio di come sia facilmente possibile sfruttare questa vulnerabilità si trova qui.

Secondo quanto riportato da Burton, la falla è stata testata con successo sull'ultima versione di MSN Messenger (la 4.6.0073) per Windows 2000 e Windows XP in concomitanza con Internet Explorer 6. Altre versioni e altre piattaforme Windows potrebbero però essere interessate dal potenziale pericolo. Parrebbero invece al sicuro gli utenti che usano un browser Web diverso da IE, come Netscape, Opera o Mozilla.
TAG: privacy
18 Commenti alla Notizia Le pericolose rivelazioni di MSN Messenger
Ordina
  • Ho provato il link, la pagina rileva davvero la mia rubrica di MSN !
    non+autenticato
  • trovo una (parziale e discutibile) conferma ad un mio sospetto. Ultimamente ho aggiustato un pò il mio database musicale e..successivamente, nel collegarmi al sito di MSN mi appare un banner che m'invita ad acquistare un software per la sistemazione del mio database musicale. Un caso?
    non+autenticato
  • Mi fate pena...
    Il vostro sistema operativo preferito ha un'altra falla? Non affaticatevi a dire che il problema non esiste. Provate a chiudere gli occhi e concentrarvi, vedrete che, come al solito, il problema scomparira' e potrete continuare a volare indisturbati nel cielo azzurro della vostra fantasia.

    D'altra parte cosa volevate aspettarvi dal sistema operativo scritto da qualcuno che si preoccupa soltanto di fare in modo che non dobbiate pensare troppo...
    Forse fareste meglio a mettervi a studiare un po', cosi` magari potete installare un sistema operativo vero, e non quello per bambini dai 3 ai 5 anni.
    Sono stanco di vedere quella roba zuccherosa che usate su tutti i computer che ci sono in giro.

    Buon divertimento.
    non+autenticato

  • CLAP CLAP...

    la cazzata l'hai detta,
    l'applauso l'hai avuto,
    ora tornatene nella bara.
    non+autenticato
  • Ma a te che cazzo te ne fotte di quello che usano gli altri ?
    Usa linux e non rompere la minchia....
    Ah ! Hai provato a fare unmount brain dev/tieniperteletueopinioni ?
    non+autenticato
  • Se qualcuno usa windowz non significa che è un povero imbecille...
    Forse il povero imbecille siete Voi, Sua Eccelsa Superiore Forma Di Vita.
    Non accetti ciò che gli altri fanno, se qualcuno si trova bene con Windowz, amen cioè...saranno pure cazzi suoi no?
    E cmq ammettiamolo...chi non l'ha mai usato?
    Con questo non sostengo che Windowz sia il migliore...anzi...sono un forte sostenitore di Linux, ma non insulto gli altri perchè usano il "simpatico" o.s. di Billino!
    Buona Vita...
    non+autenticato
  • <<Se la cosa risulta già di per sé abbastanza "inquietante", visto che dà facilmente accesso a Microsoft o a suoi partner alla rubrica di MSN Messenger...>>


    Ma cosa vuol dire scusate?
    Microsoft non ha bisogno di questo per conoscere la lista dei contatti di Messenger, poichè questi dati sono sui loro server.

    La stessa cosa la fanno le ultime versioni di ICQ... i contatti vengono salvati anche sui server AOL, in modo che cambiando postazione, siano subito accessibili.

    Pare la solita non-notizia...


    Zeross
    non+autenticato
  • se per la violazione della tua privacy e una non-notizia...
    bello niente da dire...

    A nifty feature in MSN and Windows Messenger which apparently was intended to identify IE users (without their knowledge or consent) on Microsoft Web sites can easily be abused by any Webmaster with a bit of Javascript or VBscript, a clever empiricist has discovered.

    The feature allows anyone to obtain a surfer's Messenger username and those of his contacts, according to Richard Burton in a post Monday to the BugTraq mailing list.

    Worse, if a username is not available, the e-mail address of the surfer and those of his contacts are displayed instead.

    Only Microsoft.com, Hotmail.com and Hotmail.msn.com should be able to access the
    e-mail address of the surfer and his contacts -- which of course is bad enough.
    However, a piece of software could easily make a registry entry during installation which would allow an associated Web site to obtain full details from Messenger.



    - Scritto da: Zeross
    > <<Se la cosa risulta già di per sé
    > abbastanza "inquietante", visto che dà
    > facilmente accesso a Microsoft o a suoi
    > partner alla rubrica di MSN Messenger...>>
    >
    >
    > Ma cosa vuol dire scusate?
    > Microsoft non ha bisogno di questo per
    > conoscere la lista dei contatti di
    > Messenger, poichè questi dati sono sui loro
    > server.
    >
    > La stessa cosa la fanno le ultime versioni
    > di ICQ... i contatti vengono salvati anche
    > sui server AOL, in modo che cambiando
    > postazione, siano subito accessibili.
    >
    > Pare la solita non-notizia...
    >
    >
    > Zeross
    non+autenticato
  • - Scritto da: blah
    > se per la violazione della tua privacy e una
    > non-notizia...
    > bello niente da dire...
    >
    [CUT]
    >   
    > Only Microsoft.com, Hotmail.com and
    > Hotmail.msn.com should be able to access the
    > e-mail address of the surfer and his
    > contacts -- which of course is bad enough.
    > However, a piece of software could easily
    > make a registry entry during installation
    > which would allow an associated Web site to
    > obtain full details from Messenger.


    Io ho commentato il pezzo qui sotto:

    <<Se la cosa risulta già di per sé
    abbastanza "inquietante", visto che dà
    facilmente accesso a Microsoft o a suoi
    partner alla rubrica di MSN Messenger...>>

    ...il quale non dice esattamente le stesse cose dell'articolo inglese.


    Zeross
    non+autenticato
  • Un sistema per il quale i codici sorgente sono rigorosamente nascosti non può offrire alcuna garanzia sulla riservatezza e sulla destinazione delle applicazioni contenute.
    Chi newbbies non è conosce da anni la regola di teneresi lontano il più possibile dai servizi in rete offerti da società in cui c'entra MS.
    non+autenticato
  • > Un sistema per il quale i codici sorgente
    > sono rigorosamente nascosti non può offrire
    > alcuna garanzia sulla riservatezza e sulla
    > destinazione delle applicazioni contenute.
    > Chi newbbies non è conosce da anni la regola
    > di teneresi lontano il più possibile dai
    > servizi in rete offerti da società in cui
    > c'entra MS.
    >   

    ms non ha bisogno di questi mezzucci per sapere chi sei, cosa fai, chi sono i tuoi contatti...
    il tutto e' salvato sui loro server, quindi lo sai che se usi msn messenger stai regalando il tutto a MS.
    Per me e' comodo cambiare postazione e avere sempre l'elenco dei contatti in linea e ne pago volentieri il prezzo (4 account hotmail di amici
    che ovviamente ce l'hanno solo per messenger e per dirottarci tutta l'immondizia).
    Non credere che gli altri programmi di messaging non possano fare altrettanto.
    Quando tu volontariamente fornisci i tuoi dati, non vedo perche' alterarsi se poi loro li sanno...

    Ciao
    non+autenticato
  • Gates tradotto e' "cancelli".

    Ciao
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)