Da un contributo volontario, inserito nel gruppo di discussione Bugtraq nel sito specializzato in sicurezza Security Focus, è emerso un grave problema in MSN Messenger, anche per Windows XP, che rende possibile l'accesso alla lista dei contatti, alle informazioni personali dell'utente e all'account di e-mail.
A rilevare questo comportamento anomalo del programma è Richard Burton e nel suo intervento ha descritto non solo la problematica, ma anche la tecnica utilizzata e ha indicato un sito dove provare la terribile esperienza di vedersi visualizzata la lista dei propri contatti.
La vulnerabilità è causata da una tecnologia presente nel programma di messaggistica istantanea utilizzata da Microsoft per controllare l'accesso degli utenti ai siti Microsoft.com, Hotmail.com e Hotmail.msn.com rilevando il loro indirizzo di posta elettronica.
Allo stesso modo un altro sito può sfruttare a proprio vantaggio la tecnica utilizzata dalla società di Redmond, semplicemente inserendo un Java Script nel codice della pagina web, oppure modificando, all'insaputa dell'utente i valori presenti nella chiave di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerSer
vice\Policies\Suffixes
Per testimoniare la sua scoperta Burton ha aperto una pagina dove si possono verificare le conseguenze di un attacco simulato.
Sebbene solo i tre siti di Microsoft possano accedere alle informazioni di Messenger, modificando opportunamente la chiave di registro è possibile abilitare altri siti web, oppure memorizzare i dati in un cookie, ripristinando il sistema operativo alla condizione iniziale dopo aver sottratto i dati.
Gli attacchi possono essere portati anche via e-mail, inserendo un file per modificare il registro di sistema di Windows al fine di abilitare l'accesso alle risorse memorizzate in Messenger.
Burton non propone soluzioni, ma consiglia un po' di buon senso.
Innanzitutto impostare un nickname per MSN Messenger, per rendere più complicato l'accesso all'indirizzo e-mail, successivamente controllare con regolarità i valori contenuti nella chiave di registro e accedere ai siti di Microsoft dopo aver chiuso Messenger: in questo modo si rimane anonimi e non si attiva la funzionalità sotto accusa.
Vai alla pagina di Burton
|