Damián Digital

Usuarios de Chrome, Firefox y Opera vulnerables a ataques de phishing en el Dominio Unicode

Los atacantes pueden evadir un mecanismo de seguridad y abusar de los dominios Unicode para obtener las credenciales de inicio de sesión de los usuarios de Chrome, Firefox y Opera.

El investigador de seguridad Xudong Zheng ha desarrollado una prueba de concepto que explota un problema en algunos navegadores web. Puedes probarlo por ti mismo haciendo clic aquí.

Al hacer clic en el enlace, verá este texto en la ventana de visualización.

Ahora mira de cerca la barra de direcciones. ¿Parece que se lee “https: //www.аррlе.com/”? Si es así, está utilizando un navegador que es vulnerable a lo que se conoce como un ataque homográfico de nombre de dominio internacionalizado (IDN) .

¡En español por favor!

Un ataque de homógrafos de IDN explora el hecho de que los caracteres utilizados en sistemas de escritura únicos o múltiples se parecen entre sí cuando son mostrados por los navegadores web. Por ejemplo, un latín C se parece a un cirílico C, mientras que sólo en el alfabeto latino por sí solo, dos “i” en mayúscula parecen los mismos que dos minúsculas “ls”. En 2015, un investigador de seguridad demostró esta última similitud con respecto al Lloyds Bank.

Entonces, ¿cuál es el punto?

En un navegador web, cada carácter es único. Dos dominios pueden ser iguales, pero si usan la letra “c” de dos sistemas de escritura diferentes, dirigirán a los usuarios a dos localizaciones diferentes en la tela.

Los atacantes pueden abusar de esta prestidigitación para redirigir a los usuarios a sitios web de phishing. Todo lo que necesitan hacer es usar Punycode, que se basa en caracteres ASCII para transmitir caracteres extranjeros. El dominio Punycode “xn--pple-43d.com” es equivalente a “apple.com”, por ejemplo. Mientras un navegador web traduzca el Punycode a lo que se conoce como Unicode (en este caso, “apple.com”), los atacantes pueden engañar a los usuarios para que introduzcan sus credenciales de inicio de sesión en lo que piensan que es el sitio legítimo de Apple.

Los navegadores web han visto estos ataques dirigidos a sus usuarios en el pasado. Han respondido introduciendo medidas que muestran el Punycode en lugar de Unicode cuando un dominio utiliza caracteres de múltiples sistemas de escritura. Pero esas salvaguardias no protegen contra todos los ataques de phishing basados ​​en Punycode.

Zheng confirma tanto en un blog :

“El mecanismo de protección de homógrafos de Chrome (y Firefox) falla, por desgracia, si cada personaje es reemplazado por un personaje similar de un solo idioma extranjero.El dominio ‘аррӏе.com’, registrado como ‘xn--80ak6aa92e.com’, elimina el filtro solo Usando caracteres cirílicos …. En muchos casos, la fuente en Chrome y Firefox hace que los dos dominios visualmente indistinguibles.Se vuelve imposible identificar el sitio como fraudulento sin inspeccionar cuidadosamente la URL del sitio o certificado SSL.

En este momento, Chrome, Firefox y Opera parecen mostrar el “apple.com” Unicode con la prueba de concepto del investigador. Internet Explorer, Microsoft Edge, Safari y otros no aparecen afectados.

El investigador de seguridad ha contactado a Google y Mozilla para solucionar el problema en sus navegadores web. El primero tiene la intención de lanzar una solución para el error a finales de abril, mientras que el último está discutiendo el tema. Firefox puede los usuarios pueden protegerse mientras tanto, visitando about:config y la network.IDN_show_punycode como cierto.

Dicho esto, los usuarios de cada navegador web pueden protegerse mediante el uso de un administrador de contraseñas que viene con extensiones de navegador. Estos programas introducen automáticamente credenciales de inicio de sesión para los dominios reales a los que están vinculados. Por lo tanto, si detectan un dominio que parece pero no es “apple.com”, no autenticarán automáticamente a un usuario.

LEER  Kali Linux 2017.1 lanzado con nuevas características

Deja un comentario

A %d blogueros les gusta esto: