A finales de 2016 les hablábamos del caso del imitador de Google.com, un sitio que gracias al uso de caracteres Unicode utilizaba una letra muy parecida a la "G" mayúscula para hacer pasar su dominio por el del gigante de las búsquedas. ɢoogle.com parece muy normal, pero no lo es.
Esto es conocido como un ataque homográfico, una forma maliciosa de engañar al usuario aprovechándose del hecho de algunos caracteres lucen muy parecidos. Pero esta vez una nueva variación de este tipo de amenaza ha sido descubierta, una que es imposible de detectar porque los caracteres lucen exactamente iguales, y a la que navegadores como Chrome, Firefox y Opera son vulnerables.
El código púny
Para evitar confusiones, cuando se decidió que se podrían usar caracteres Unicode en los nombres de dominio, también se decidió que se utilizaría algo llamado Punycode en su lugar. Por defecto, un navegador debería ser capaz de leer una URL en Punycode y transformarla a caracteres Unicode, pero esto obviamente deja al navegador susceptible de ser víctima de un ataque de phishing disfrazado de dirección web legítima.
Por ejemplo, si alguien registra xn-pple-43d.com la dirección sería el equivalente de apple.com deletreada con una "а" del alfabeto cirílico.
La solución de los navegadores para evitar la confusión es mostrar las URLs en Punycode o código púny en lugar de Unicode si la dirección contiene caracteres de diferentes idiomas, como cirílico y latín. Esto identificaría las URLs como intentos de phishing. Pero las URLs en un solo idioma, como chino o japonés, sí serían mostradas como Unicode.
El investigador de seguridad chino Xudong Zheng descubrió que esto puede explotarse para el mal, ya que muchas familias de caracteres Unicode contienen variaciones de letras del alfabeto en latín. El mismo registró un dominio en uno de esos idiomas para probar su punto.
Zheng registró el dominio xn-80ak6aa92e.com y el navegador lo interpreta como apple.com, y además lo muestra como conexión segura. Puedes comprobarlo tu mismo desde este enlace usando Chrome, Firefox u Opera.
La fuente usada por el navegador hace las URL completamente indistinguible del apple.com real. La protección contra ataques homográficos de estos navegadores falla completamente cuando cada caracter es reemplazado con uno similar en un solo idioma extranjero. El dominio https://www.аррӏе.com/ registrado como xn--80ak6aa92e.com se salta el filtro completamente usando solo letras del alfabeto cirílico.
El bug ya fue reportado a Chrome y Firefox desde enero de 2017, pero solo ha sido reparado en Chrome Canary, y debería estar disponible para los usuarios de Chrome 58 que será liberado a finales de abril. En Firefox el problema sigue en estudio.
Vía | Bleeping Computer y genbeta
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.