|
VSantivirus No. 580 - Año 6 - Jueves 7 de febrero de 2002
MSN Messenger puede revelar datos personales en la Web
http://www.vsantivirus.com/07-02-02b.htm
5/2/2002 - 14:28 Giordani Rodrigues
Traducción: VSAntivirus
Artículo publicado originalmente en "InfoGuerra" (*)
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1012926514,16140,/
Los programas de mensajería instantánea, MSN Messenger y Windows Messenger (en Windows XP) pueden ser usados para obtener información personal de sus usuarios en cualquier página Web preparada para ello. Basta que la página haga uso de determinados códigos de JavaScript o VBScript. Tres sitios en especial -- Microsoft.com, Hotmail.com y Hotmail.msn.com -- están configurados para acceder a los e-mails de los usuarios de esos programas, así como de todos los contactos de su lista.
El alerta fue publicado en la lista Bugtraq por el usuario Richard Burton. Según él, la navegación asociada a un dato identificado individualmente, como una dirección de correo electrónico, "puede ser usada por Microsoft para rastrear usuarios en sus sitios, lo que muchos pueden considerar un problema de privacidad".
Además de los tres dominio citados arriba, otros sitios pueden tener acceso a las direcciones de e-mail, con la simple adición de una entrada al registro de Windows. Esta entrada puede así mismo, ser configurada por un spyware o adware, pequeñas piezas de software instaladas junto con algunos programas shareware (Kazaa, CuteFTP, Go!Zilla, entre muchos otros) y que tienen la capacidad de transmitir información sobre la navegación de los internautas.
El Messenger fue proyectado para permitir ciertas funcionalidades en páginas con JavaScript o VBScript, lo que incluye la capacidad de presentar las direcciones de e-mail del usuario y de sus contactos. Cómo protección, apenas algunos sitios pueden conseguir las direcciones usando scripts, pero todos ellos pueden conseguir los nombres de usuarios.
La lista de sufijos de los dominios que pueden tener acceso a los datos del Messenger, puede ser vista en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes
Los valores son "Suffix0", "Suffix1", y así hasta Suffix8. Con un valor como "test.com", haría que todas las páginas de ese dominio tuvieran total acceso a las informaciones del Messenger. En el caso que el valor sea apenas el sufijo ".com", por ejemplo, todos los sitios con esa terminación tendrían acceso a los datos.
Estos valores no están preestablecidos en la configuración original, pero los sitios de Microsoft citados son codificados con el Messenger para acceder a estos datos. Los usuarios no tienen la forma de deshabilitar esta función, a no ser desconectando el programa antes de visitar esos sitios.
Richard Burton aconseja a Microsoft a remover la lista codificada de dominios que dan acceso a los datos del Messenger, de modo que los usuarios puedan tener la opción de hacer disponibles estos datos o no, al visitar un sitio de la compañía. También sugiere que se impida a las aplicaciones agreguen valores automáticamente a la lista de sufijos. Y que los usuarios tengan la opción de deshabilitar el soporte para scripts.
A los usuarios, Burton sugiere que siempre configuren un nombre de usuario, o que impidan que la dirección de e-mail sea exhibida en el lugar de éste. Que verifiquen constantemente la clave de registro donde los sufijos son guardados, principalmente después de la instalación de programas freeware o shareware; y que desconecten el Messenger en caso de que quieran visitar un sitio de Microsoft anónimamente.
Las últimas versiones (4.6.0073) del MSN Messenger para Windows 2000 y Windows Messenger (4.6.0073) para el sistema XP mostraron ser vulnerables. Es probable que otras versiones para otras plataformas presenten el mismo problema.
Burton creó una página de tests que muestra los nombres de usuario y de todos sus contactos, en caso de que JavaScript esté habilitado y que su versión del Messenger sea vulnerable. Para visitarla haga clic en este enlace:
http://raburton.members.easyspace.com/msn/
(*) InfoGuerra es el primer sitio brasileño especializado en noticias sobre seguridad y privacidad que apunta al público en general. Ofrece diariamente información seleccionada y muchas veces exclusiva sobre estos temas, bajo la premisa del respeto a la inteligencia, al derecho a estar informado, y a la privacidad de sus lectores. VSAntivirus (Video Soft) e InfoGuerra mantienen desde agosto de 2001, un mutuo acuerdo de intercambio de información.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|