Web – Una tecnologia di identificazione integrata in Windows Media Player (WMP) potrebbe consentire ai siti Web di tracciare gli utenti. A lanciare l’allarme è un noto esperto di sicurezza, Richard M. Smith, che ha dimostrato come sia possibile per un sito Web, attraverso poche righe di JavaScript, impadronirsi del un numero unico identificativo assegnato di default dal WMP ad ogni macchina e inserito nel registro di Windows.
“Ogni sito su Internet può accedere al vostro numero di ID usando un po’ di JavaScript. Questo è un grave problema per la privacy”, ha detto Smith, CEO della società di consulenza Privacy Foundation.
Microsoft si difende sostenendo di aver rilasciato una patch a maggio che permette agli utenti di modificare le impostazioni del WMP in modo che l’ID incriminato non resti fisso ma cambi dinamicamente ad ogni sessione di Internet Explorer: in particolare, a partire dal WMP 6.4 patchato (e tranne la versione 7.0, che va obbligatoriamente aggiornata alla 7.1) sarebbe possibile, secondo il big di Redmond, porre rimedio al problema disabilitando la voce “Consenti ai siti Internet di identificare in modo univoco il lettore multimediale”.
Smith sostiene però che questa opzione risulta ancora attivata di default sia nelle versioni patchate del player sia nella più recente versione 7.1, continuando dunque a rappresentare un grave rischio per quella stragrande maggioranza di utenti che non si preoccupano di modificare le impostazioni avanzate del proprio player.
Quello che è ancora più grave, sostiene Smith, è che questa sorta di “supercookie” che è il numero ID di WMP continua ad essere accessibile anche se si è installata l’ultima versione di Internet Explorer 6.
“Microsoft si è sforzata parecchio di aggiungere a Internet Explorer vari controlli sulla privacy – ha spiegato Smith – ma a quanto pare questa back-door riesce totalmente ad aggirarli”.
Smith sostiene che i siti sono in grado di catturare l’user ID di WMP a causa di una falla nell’interfaccia ActiveX del player, una vulnerabilità che consentirebbe all’ID di essere letto attraverso un comando chiamato “ClientID”.
Questo ID, che Microsoft aveva inizialmente inserito nel WMP per permettere ai fornitori di contenuti di poter disporre di statistiche di accesso e utilizzo, potrebbe in futuro rendersi ancor più necessario come parte del sistema di digital rights management per l’acquisto di musica ed altri contenuti via Internet. A dirlo è Russ Cooper, boss della firma di sicurezza TruSecure, che si è però anche detto speranzoso che nel frattempo Microsoft offra maggiore possibilità di controllo agli utenti in merito a quali siti possono accedere al loro ID.