Dopo i dati allarmanti sulla sicurezza scarsissima di Safari, molti utenti sono migrati verso browser decisamente più sicuri, come Google Chrome, Firefox e Opera (anche se quest’ultimo è sempre discutibile in quanto a capacità di filtrare minacce, ma ne parleremo più avanti).
Tuttavia, se digitate da un Mac o da un iPhone, ma anche da windows casomai voleste andare sul sito della mela, e state utilizzando Chrome, Opera o Firefox, c’è qualcosa che dovreste sapere: il sito Apple.com che vedete, potrebbe non essere quello che volete visitare.
La nuova frontiera della frode online si rivolge agli utenti che più si dimostrano facili prede, vale a dire i possessori di apple devices, che si credono sempre protetti senza rendersi conto delle trappole in cui stanno per cascare. E il furto di dati e numeri di carte di credito, è un attimo.
La debolezza coinvolge il modo in cui questi browser visualizzano alcuni caratteri nella barra degli indirizzi: fino a quando Google ha rilasciato la versione 58 nelgli ultimi giorni, per esempio, Chrome visualizzava l’indirizzo “https://www.xn--80ak6aa92e.com/” come https://www.apple.com. Le ultime versioni di Firefox e Opera di default continuano a presentare lo stesso indirizzo fuorviante che, come dimostra la foto qua sotto, non ha nulla a che fare con Apple.
In pratica un malintenzionato ha registrato il dominio xn--80ak6aa92e.com sottostante, e ha usato questo fattore per spingere software con accesso alle backdoor dei dispositivi o per ingannare i visitatori rubando password o altre informazioni sensibili.
Ma come diavolo è possibile? come funziona l’attacco? L’ha spiegato Xudong Zheng, un famoso costruttore di applicazioni web per Ars Technica.
Punycode rende possibile registrare domini con caratteri stranieri, e funziona convertendo l’etichetta del dominio ad un formato alternativo utilizzando solo caratteri ASCII. Ad esempio, il dominio “xn--s7y.co” è equivalente a “短.co”.
Dal punto di vista della sicurezza, i domini Unicode possono essere problematici perché molti caratteri Unicode sono difficili da distinguere da caratteri ASCII comuni. E ‘possibile registrare domini come “xn--pple-43d.com”, che equivale a “аpple.com” e possono non essere evidenti a prima vista, ma “аpple.com” utilizza il “а” Cirillico (U + 0430), piuttosto che l’ASCII “a” (U + 0061) [insomma voi leggete lo stesso, ma la combinazione di segnali sulla tastiera unicode usata dal programma è diversa, ndr]. Questo è noto come un IDN homograph attack .
Fortunatamente i browser moderni hanno meccanismi in atto per limitare gli attacchi omografi IDN. La pagina di IDN in Google Chrome mette in evidenza le condizioni in cui un IDN viene visualizzato nella sua forma nativa Unicode. In generale, la forma Unicode sarà nascosta se un’etichetta dominio contiene caratteri di più lingue diverse. Il dominio “аpple.com” come sopra descritto apparirà nella sua forma Punycode come “xn--pple-43d.com” per limitare confusione con il vero “apple.com”.
Il meccanismo di protezione omografia in Chrome, Firefox e Opera però, non riesce se ogni carattere viene sostituito con un carattere simile da una sola lingua straniera. Il dominio “аррӏе.com”, registrato come “xn--80ak6aa92e.com”, bypassa il filtro utilizzando solo caratteri cirillici. È possibile controllare questo nel proof-of-concept, utilizzando Chrome, Firefox o Opera.
Visivamente, i due domini sono indistinguibili a causa del font utilizzato da Chrome e Firefox. Di conseguenza, diventa impossibile identificare il sito come fraudolento senza ispezionare attentamente URL o SSL o certificato del sito. Questo programma ben dimostra la differenza tra le due serie di caratteri. Safari, insieme a diversi browser meno tradizionali, non sono fortunatamente vulnerabili [e questo solo perchè non supportano, per ora, i caratteri cirillici, ndr].
Per ora, gli sviluppatori di Mozzilla hanno indicato che non cambierà il comportamento predefinito quando il browser incontra nomi a dominio punycode-based, anche se c’è un grosso dibattito in corso; e questo perchè un tale cambiamento “renderebbe tutti i nomi di dominio non latini mostrano come senza senso”, ha scritto lo sviluppatore di Mozilla Gervase Markham.
Le persone che utilizzano Chrome dovrebbero installare la versione 58 il più presto possibile. Gli utenti di Firefox possono proteggersi inserendo “about: config” nella barra degli indirizzi e accettando l’avviso visualizzato. Da lì, immettere “Punycode” nella casella di ricerca per visualizzare una linea che legge network.IDN_show_punycode. Oltre a Safari di Apple, i browser Edge e Internet Explorer di Microsoft, inoltre, non sono colpiti, almeno fintanto che non hanno il supporto per una lingua cirillica.
Discussione su post