A finales de 2016 surgio un "imitador" del buscador más importante en América en la actualidad, sí de google.com; surgió un sitio que gracias al uso de caracteres Unicode utilizaba una letra muy parecida a la "G" mayúscula para hacer pasar su dominio por el de google; así ɢoogle.com parece muy normal, pero no lo es.

Se conoce como un ataque homográfico, una forma maliciosa de engañar al usuario aprovechándose de que algunos caracteres lucen muy parecidos. Pero esta vez una variación de este tipo de amenaza ha sido descubierta, una que es imposible de detectar porque los caracteres lucen exactamente iguales, y que puede afectar a los usuarios de Firefox, Chrome y Opera.

Punycode

Para evitar confusiones, cuando se decidió que se podrían usar caracteres Unicode en los nombres de dominio, también se decidió que se utilizaría algo llamado Punycode en su lugar. Un navegador web debería ser capaz de leer una URL en Punycode y transformarla a caracteres Unicode, esto deja al navegador vulnerable de ser víctima de un ataque de phishing disfrazado de dirección web legítima.

Por ejemplo, si alguien registra xn-pple-43d.com la dirección sería el equivalente de apple.com deletreada con una "а" del alfabeto cirílico.

La solución de los navegadores para evitar la confusión es mostrar las URLs en Punycode en lugar de Unicode si la dirección contiene caracteres de diferentes idiomas, como cirílico y latín. Esto identificaría las URLs como intentos de phishing. Pero las URLs en un solo idioma, como chino o japonés, sí serían mostradas como Unicode.

El investigador de seguridad chino Xudong Zheng descubrió que esto puede explotarse con fines de phisign, ya que muchas familias de caracteres Unicode contienen variaciones de letras del alfabeto en latín. El mismo registró un dominio en uno de esos idiomas para probar su punto.

Zheng registró el dominio xn-80ak6aa92e.com y el navegador lo interpreta como apple.com, y además lo muestra como conexión segura. Aquí se puede entrar al sitio para verificarlo usando Firefox, Chrome u Opera.


Firefox, Chrome y Opera son vulnerables

El navegador web muestra la URL completamente indistinguible del apple.com real. La protección contra ataques homográficos de estos navegadores falla completamente cuando cada caracter es reemplazado con uno similar en un solo idioma extranjero. El dominio https://www.аррӏе.com/ registrado como xn--80ak6aa92e.com se salta el filtro completamente usando solo letras del alfabeto cirílico.



Así se ve el sitio apócrifo que utiliza esta técnica:




Su certificado de seguridad indica el nombre común donde podremos verificar que no corresponde a apple.com




Así luce el sitio original de apple.com






En el certificado de seguridad indica el nombre común, donde podemos corroborar la autenticidad del sitio




El bug ya fue reportado a Firefox y Chrome desde enero de 2017, pero solo ha sido reparado en Chrome Canary, y debería estar disponible para los usuarios de Chrome 58 que será lanzado a finales de este mes de Abril 2017. En Firefox el problema sigue siendo estudiado.

Fuente: thehackernews.com




Tuesday, April 18, 2017







« Atrás

Powered by WHMCompleteSolution