Roma – In un messaggio inviato alla mailing-list di sicurezza BugTraq, Richard Burton ha rivelato una “funzionalità” di MSN Messenger che potrebbe costituire un pericolo per la privacy degli utenti.
Burton ha infatti scoperto che attraverso poche righe di Javascript o di VBscript è possibile ottenere, attraverso Internet Explorer, il nickname di un possessore di MSN Messenger (o, se non ne ha nessuno, l’indirizzo e-mail) e quello di tutti gli utenti contenuti nella sua rubrica. Se la pagina è ospitata presso uno dei domini microsoft.com, hotmail.com o hotmail.msn.com, MSN Messenger pare “disposto” a rivelare anche gli indirizzi e-mail dell’utente e dei suoi contatti.
Se la cosa risulta già di per sé abbastanza “inquietante”, visto che dà facilmente accesso a Microsoft o a suoi partner alla rubrica di MSN Messenger, per trasformare questa sorta di funzionalità in una grave falla per la privacy basta modificare, stando a quanto sperimentato da Burton, una voce nel registro di Windows.
La chiave del registro HKEY_LOCAL_MACHINE SOFTWARE Microsoft MessengerService Policies Suffixes (potrebbe essere necessario creare la voce “Suffixes”) può infatti essere modificata da programmi aggressivi per inserirvi i suffissi di quei siti che possono avere accesso a nick ed e-mail del possessore di MSN Messenger e dei suoi conoscenti: nel caso estremo, aggiungendo ad esempio il suffisso “com”, tutti i domini commerciali potranno ottenere queste informazioni attraverso una pagina Web contenente qualche riga di script.
Di default questa chiave è vuota ma, secondo Burton, potrebbe essere modificata da qualsiasi programma aggressivo: un software di tipo spyware, o adware, potrebbe ad esempio ottenere la lista di e-mail attraverso un semplice banner contenuto sul proprio sito.
Un esempio di come sia facilmente possibile sfruttare questa vulnerabilità si trova qui .
Secondo quanto riportato da Burton, la falla è stata testata con successo sull’ultima versione di MSN Messenger (la 4.6.0073) per Windows 2000 e Windows XP in concomitanza con Internet Explorer 6. Altre versioni e altre piattaforme Windows potrebbero però essere interessate dal potenziale pericolo. Parrebbero invece al sicuro gli utenti che usano un browser Web diverso da IE, come Netscape, Opera o Mozilla.