Il gestore delle password potrebbe essere a rischio sicurezza!
Per alcuni di vi non sarà certamente un novità ma sappiate che i malintenzionati possono eludere un meccanismo di sicurezza e abusare dei domini di unicode per perpetrare un’azione di phishing ai danni di utenti Chrome, Firefox e Opera.
Il ricercatore di sicurezza Xudong Zheng ha sviluppato una prova-teorica che sfrutta il problema in alcuni browser web. Potete provarlo voi stessi cliccando qui. (Tranquilli, il link è sicuro e non vi accadrà niente di male.)
Cliccando sul link, vedrete il testo seguente nella finestra di visualizzazione.
Ora guardate da vicino la barra degli indirizzi. Vi sembra di leggere “https://www.apрlе.com/”?
In caso affermativo, state utilizzando un browser vulnerabile a quello che è conosciuto come un attacco di homograph internazionalizzato (IDN).
Un attacco a homograph IDN sfrutta il fatto che i caratteri utilizzati in uno (o più) sistemi di scrittura sembrano simili all’altro quando vengono visualizzati dai browser web. Per esempio, un carattere latino “c” sembra simile a quello cirillico “c”.
Allora qual è il punto?
In un browser web, ogni carattere è unico. Due domini potrebbero essere simili, ma se utilizzano la lettera “c” da due diversi sistemi di scrittura, gli utenti verranno indirizzati a due destinazioni diverse sul web.
I malintenzionati possono abusare di questa vulnerabilità per reindirizzare gli utenti su siti web di phishing. Tutto quello che dovete fare è usare Punycode, che si basa su caratteri ASCII per trasmettere caratteri stranieri. Il dominio Punycode “xn--pple-43d.com” è equivalente a “apple.com”, ad esempio. Finché un browser web traduce il Punycode in un noto come Unicode (in questo caso, “apple.com”), gli aggressori possono ingannare gli utenti a immettere le credenziali di accesso su quello che pensano sia il sito autentico di Apple.
I produttori di browser Web hanno notato che questi attacchi minacciavano la sicurezza dei propri utenti in passato. Hanno risposto introducendo misure che visualizzano il Punycode invece di Unicode quando un dominio utilizza caratteri da più sistemi di scrittura. Ma queste protezioni non proteggono da tutti gli attacchi di phishing basati su Punycode.
Zheng, infatti, conferma in un post sul suo blog:
“Chrome’s (and Firefox’s) homograph protection mechanism unfortunately fails if every characters is replaced with a similar character from a single foreign language. The domain ‘аррӏе.com’, registered as ‘xn--80ak6aa92e.com’, bypasses the filter by only using Cyrillic characters…. In many instances, the font in Chrome and Firefox makes the two domains visually indistinguishable. It becomes impossible to identify the site as fraudulent without carefully inspecting the site’s URL or SSL certificate.”
A questo punto, Chrome, Firefox e Opera sembrano mostrare il sito “apple.com” Unicode con la prova del concetto del ricercatore. Internet Explorer, Microsoft Edge, Safari e altri non sembrano affetti da questo problema.
Il ricercatore ha raggiunto Google e Mozilla per risolvere il problema nei loro browser web. Il primo intende lanciare una correzione per il bug alla fine di aprile, il problema è tuttavia ancora in discussione. Firefox è in grado di proteggere gli utenti nel frattempo visitando
about:config
e impostando il valore della proprietà
network.IDN_show_punycode
su true.
Andrebbe aggiunto che lo stesso Firefox, ha riconosciuto di essere vulnerabile ad attacchi di tipo homograph all’incirca 12 anni fa come documenta bugzilla.
Fonte: Graham Cluley site