Privacy a rischio con il MSN Messenger

Chi utilizza MSN Messenger espone i dati personali propri e dei corrispondenti alla curiosità dei webmasters. Microsoft in primo luogo, ma non solo.

[ZEUS News - www.zeusnews.it - 06-02-2002]

Microsoft colpise ancora. Secondo quanto riportato dalla mailing list BugTraq, il MSN Messenger può comunicare ai siti visitati il "display name" dell'utente e quelli di tutti i contatti elencati nella rubrica degli indirizzi: è sufficiente che la pagina web incorpori l'opportuno codice JavaScript. In mancanza del display name vengono inviati gli indirizzi di posta elettronica.

Ma ci sono alcuni particolari ancora più interessanti: primo, i siti Microsoft sono automaticamente abilitati ad ottenerli; a quanto pare, infatti, i domini microsoft.com, hotmail.com e hotmail.msn.com sono cablati a tal fine nel codice stesso del MSN Messenger. Secondo, se nella chiave

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/MessengerService/Policies/Suffixes

del registry sono elencati nomi a dominio, tutti i siti ad essi appartenenti risultano autorizzati a fare altrettanto: come dicevo, basta un po' di JavaScript. Dal momento che la chiave può contenere anche top level domains, la presenza di ".com", ".org" e ".net" è sufficiente per spalancare la porta praticamente al mondo intero.

Vero è che, per default, detta chiave è vuota, ma chi può escludere che qualche mail attachment malizioso (ed è solo un esempio) non vi inserisca i nomi desiderati dal suo mittente?

Per chi volesse verificare di persona, lo scopritore di questa interessante feature del MSN Messenger ha predisposto una paginetta dimostrativa. Viene inoltre descritto come evitare di essere tracciati contro la propria volontà: in Internet Explorer, dal menu "Strumenti" selezionate "Protezione", poi "Internet", poi "Personalizza" e infine "Disattiva" per la voce "Esegui script controlli ActiveX contrassegnati come sicuri"... già, vien da dire, bella sicurezza. Con ogni probabilità non sarete più in grado di godere appieno delle caratteristiche multimediali offerte da alcuni siti ma, personalmente, dubito che si tratti di funzionalità irrinunciabili.

Non è tutto. Sempre secondo BugTraq, MSN Messenger, in Windows XP, apre in segreto una connessione alla porta 1900 dell'indirizzo 239.255.255.250, anche se le funzionalità di UPnP e SSDP Discovery sono disabilitate a livello di sistema operativo.

Ho parlato di feature, ed è proprio questo l'aspetto peggiore della vicenda. Siamo al cospetto di gravissime violazioni della riservatezza, e non si tratta di "bachi", ma di implementazioni volute. Quale che sia lo scopo (commerciale, di controllo, eccetera) è assolutamente inaccettabile che un produttore di software si serva di subdoli metodi per carpire ai propri utenti informazioni che sarebbe più corretto richiedere, se proprio si desidera avere.

E il peggio del peggio è che a farlo non sia una sonosciuta aziendina qualsiasi, ma Microsoft, che può vantare la presenza dei propri prodotti su una elevatissima percentuale dei personal computer installati nel mondo intero.

Se davvero Bill Gates ha deciso di sospendere per un mese lo sviluppo per dedicarsi alla correzione dei bugs presenti nei suoi prodotti, più realisticamente potrebbe cominciare proprio da queste brillanti features.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Stefano Barni - Quelli di Zeus

Commenti all'articolo (2)

Gateo

4)Che dopo quattro anni puo' essere che quella pagina non esiste piu'?
25-1-2006 09:57

{edward nigma}

il fatto che non riesca a vedere... Leggi tutto
24-1-2006 23:35

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(14 commenti) Amazon ai dipendenti: si torna tutti in ufficio	News(11 commenti) Smartphone, patentino obbligatorio per i giovani

News(5 commenti)

La IA che prevede i crimini dai filmati di videosorveglianza

News(8 commenti)

Arrivano i pornitor

Editoriale(28 commenti)

L'obbligo dei 14 anni per gli smartphone

News(12 commenti)

Debutta Bluetooth 6.0, più preciso ed efficiente

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Se fossi il passeggero in un'auto il cui conducente sta leggendo o inviando un Sms, protesteresti?