È stata scoperta una vulnerabilità che colpisce i browser Chrome, Firefox e Opera. I browser convertono erroneamente l’ Unicode in ASCII via Punycode, ingannando i visitatori che credono di visitare il sito ufficiale.
Punycode
il sistema utilizzato per rappresentare univocamente una sequenza di caratteri unicode tramite una di caratteri ASCII. Lo scopo è rendere possibile l’uso di tali sequenze nei nomi di dominio, senza dover modificare infrastrutture e standard esistenti. In questo modo si possono gestire nomi di dominio internazionalizzati (IDNA) aggiungendo all’inizio della stringa Punycode i caratteri ‘xn--‘.
Il prova arriva dal ricercatore Xudong Zhen, che ha dimostrato la vulnerabilità registrando il dominio “https://www.xn--80ak6aa92e.com/“. Quando inserito nella barra degli indirizzi il browser lo traduce in maniera errata in Apple.com. Questa tecnica se ben sfruttata può ingannare anche il più esperto dei navigatori.
Il rischio portato dalla vulnerabilità è evidente: Un malintenzionato potrebbe registrare un dominio che punta ad un server dove tramite un sito web ad hoc può facilmente rubare informazioni di login e password.
Il problema deriva dal modo in cui i browser gestiscono gli attacchi omografici, questa tecnica consiste nel cambiare i caratteri ASCII con caratteri graficamente simili, ma di un altra lingua.
Normalmente, la conversione viene bloccata se l’indirizzo contiene simboli di lingue diverse, ma questa vulnerabilità dimostra che questa misura preventiva può essere bypassata se tutti i simboli vengono sostituiti. Prendiamo l’esempio di prima, tutti i caratteri sono cirillici, ma una volta renderizzati non si notano differenze tra questi e i caratteri ASCII.
Google è corso immediatamente ai ripari, sistemando il problema nella versione di Chrome 58, mentre invece Firefox e Opera continuano ad esserne affetti. Ne sono immuni invece Internet Explorer, Microsoft Edge, and Safari.
Come proteggersi
Chrome, aggiornare all’ultima versione è sufficiente.
Firefox, modificando le impostazioni del browser è possibile bloccare la conversione in Unicode. Per farlo basta digitare nella barra degli indirizzi about:config e cercare il valore network.IDN_show_punycode. Per mostrare gli indirizzi in Punycode e non in Unicode, impostarlo su true.
Purtroppo per Opera, l’unico consiglio che posso dare vale per tutti: in caso di indirizzi provenienti da fonti sospette, digitarlo a mano nella barra degli indirizzi.
via: xudongz.com
Devi effettuare l'accesso per postare un commento.