A finales de 2016 les hablábamos del caso del imitador de Google.com, un sitio que gracias al uso de caracteres Unicode utilizaba una letra muy parecida a la "G" mayúscula para hacer pasar su dominio por el del gigante de las búsquedas. ɢoogle.com parece muy normal, pero no lo es.
Esto es conocido como un ataque homográfico, una forma maliciosa de engañar al usuario aprovechándose del hecho de algunos caracteres lucen muy parecidos. Pero esta vez una nueva variación de este tipo de amenaza ha sido descubierta, una que es imposible de detectar porque los caracteres lucen exactamente iguales, y a la que navegadores como Chrome, Firefox y Opera son vulnerables.
El código púny
Para evitar confusiones, cuando se decidió que se podrían usar caracteres Unicode en los nombres de dominio, también se decidió que se utilizaría algo llamado Punycode en su lugar. Por defecto, un navegador debería ser capaz de leer una URL en Punycode y transformarla a caracteres Unicode, pero esto obviamente deja al navegador susceptible de ser víctima de un ataque de phishing disfrazado de dirección web legítima.
Por ejemplo, si alguien registra xn-pple-43d.com la dirección sería el equivalente de apple.com deletreada con una "а" del alfabeto cirílico.
La solución de los navegadores para evitar la confusión es mostrar las URLs en Punycode o código púny en lugar de Unicode si la dirección contiene caracteres de diferentes idiomas, como cirílico y latín. Esto identificaría las URLs como intentos de phishing. Pero las URLs en un solo idioma, como chino o japonés, sí serían mostradas como Unicode.
Chrome, Firefox y Opera fallan en detectar el ataque homográfico
El investigador de seguridad chino Xudong Zheng descubrió que esto puede explotarse para el mal, ya que muchas familias de caracteres Unicode contienen variaciones de letras del alfabeto en latín. El mismo registró un dominio en uno de esos idiomas para probar su punto.
Zheng registró el dominio xn-80ak6aa92e.com y el navegador lo interpreta como apple.com, y además lo muestra como conexión segura. Puedes comprobarlo tu mismo desde este enlace usando Chrome, Firefox u Opera.
La fuente usada por el navegador hace las URL completamente indistinguible del apple.com real. La protección contra ataques homográficos de estos navegadores falla completamente cuando cada caracter es reemplazado con uno similar en un solo idioma extranjero. El dominio https://www.аррӏе.com/ registrado como xn--80ak6aa92e.com se salta el filtro completamente usando solo letras del alfabeto cirílico.
El bug ya fue reportado a Chrome y Firefox desde enero de 2017, pero solo ha sido reparado en Chrome Canary, y debería estar disponible para los usuarios de Chrome 58 que será liberado a finales de abril. En Firefox el problema sigue en estudio.
Vía | Bleeping Computer
En Genbeta | Cuidado con el imitador: ɢoogle.com y Google.com parecen iguales pero no lo son
Ver 32 comentarios
32 comentarios
porzino
Hubiera estado bien que apuntaras que en firefox se puede cambiar la propiedad 'network.IDN_show_punycode' a 'true' poniendo en la barra de direcciones 'about:config' mientras no solucionan el bug. De esta manera se mostrará la url en su código púny y así podrás ver los dominios maliciosos.
toy1000
pues en el EDGE que aun muy pocos quieren, muestra "https://www.xn--80ak6aa92e.com/"
y no apple.com
rocketboom
El UC browser de android esta mas adelantado que los navegadores de escritorio?
Porque no le afecta este bug
thyranus
He probado desde el opera para Android y este error no me afecta, ya que muestra la url tal como es.
thyranus
En Vivaldi para windows aparece la URL en Punycode, pero el certificado de seguridad sí aparece como válido.
fabricio07
El navegador de samsung lo muestra tal como es.
man_chester
Y de Edge, se sabe algo?
calvarado04
Safari no es vulnerable, confirmado que Firefox y Chrome sí lo son.
davidcolino
listos, pero se ve a simple vista en la url que no es la misma página
marjuanmanuel
que onda con este error garrafal!!!!!!!!!!!
jav.gilbert10
"Hey there!
This may or may not be the site you are looking for! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way unicode domains are handled in browsers.
See what this is about"
Ese mensaje dice edge entonces no le afecta gracias por comprobar con todos los navegadores y decir que solo Chrome lo solucionara redactores imparciales y flojos