Phishing irriconoscibile su Chrome, Firefox e Opera: sembra apple.com ma non lo è

Phishing irriconoscibile su Chrome, Firefox e Opera: sembra apple.com ma non lo è

Uno sviluppatore web ha mostrato un piccolo trucco con cui è possibile riprodurre dei nomi dominio falsi in maniera quasi del tutto irriconoscibile per l'utente

di Nino Grasso pubblicata il , alle 13:11 nel canale Sicurezza
MozillaGoogleFirefoxChromeOpera
 

Chi usa i browser Chrome, Firefox e Opera per navigare sul web (quindi la maggior parte degli utenti) dovrebbe conoscere il problema nell'implementazione dei caratteri Unicode che è stata diffusa di recente dallo sviluppatore web Xudong Zheng. Zheng ha sviluppato una versione del portale apple.com che potrebbe essere scambiato per quello originale anche dai più esperti. Una pagina di questo tipo potrebbe indurre l'utente ad inserire le credenziali d'accesso senza accorgersi della finalità fraudolenta, credendo che a gestirle ci sia la stessa Apple.

La vulnerabilità sfrutta il modo in cui i tre browser riproducono alcuni caratteri nella barra degli indirizzi. Fino al rilascio di Chrome 58, avvenuto negli ultimissimi giorni, il browser di Google mostrava il testo https://www.xn--80ak6aa92e.com/ come https://www.аpple.com. Lo stesso avviene anche con le attuali versioni di Firefox e Opera, che in via predefinita riproducono quella sequenza di caratteri con l'URL fuorviante. Ma come dimostra il sito proof-of-concept realizzato da Zheng, quel sito non ha nulla a che vedere con la società di Cupertino produttrice dei Mac.

Se l'avesse realizzato un utente con finalità malevole, registrando in anticipo il dominio, avrebbe rappresentato un problema gravissimo nella sicurezza del proprio account iCloud. Sviluppando un portale assolutamente identico a quello Apple (non ci vogliono grandissimi competenze per replicarlo), sarebbe stato semplicissimo rubare dati sensibili dell'utente o le sue credenziali d'accesso all'account Apple (e quindi iCloud, con tutto quello che ne consegue). Lo sviluppatore ha spiegato in maniera dettagliata il funzionamento di questo "attacco di tipo omografico".

"Punycode rende possibile registrare domini con caratteri stranieri", ha scritto Zheng. "Funziona convertendo nomi individuali dei domini verso un formato alternativo utilizzando solo caratteri ASCII. Ad esempio il dominio 'xn--s7y.co' equivale a '短.co'. Sul piano della sicurezza i domini Unicode possono essere un problema perché molti caratteri Unicode non si riescono facilmente a distinguere dai comuni caratteri ASCII. E quindi è possibile registrare domini come 'xn--pple-43d.com', che è l'equivalente di 'аpple.com'", spiega dettagliatamente lo sviluppatore.

Continuando: "Potrebbe non essere ovvio ad una prima occhiata, ma 'аpple.com' usa la а cirillica (U+0430) e non la 'a' tipica dei caratteri ASCII (U+0061). Questo si chiama attacco omografico". I browser riescono a intuire questo tipo di meccanismo, limitando la pericolosità degli attacchi quando vengono utilizzati due tipi di caratteri appartenenti a lingue diverse mostrando la prima versione del dominio. Tuttavia nel proof-of-concept di Zheng Firefox e Opera continuano a fallire nel rilevamento dell'eventuale phishing, così come Chrome prima dell'ultima versione.

Il dominio utilizzato da Zheng viene proposto nella sua interezza con caratteri appartenenti ad una sola lingua straniera, ed è così che il dominio registrato come 'xn--80ak6aa92e.com' viene in ogni caso mostrato come 'аррӏе.com'. Questo perché il sistema di rilevamento considera buona la versione con tutti i caratteri in cirillico. Visivamente i due domini (il portale Apple vero e quello creato ad-hoc) sono indistinguibili per via dei caratteri utilizzati su Chrome e Firefox, dando l'opportunità ad un utente malintenzionato di effettuare scam e furti di dati indisturbato.

Sul forum ufficiale Mozilla, la società ha dichiarato che non intende cambiare il comportamento del browser con il rilevamento dei nomi dominio basati su Punycode perché il cambiamento peggiorerebbe la riproduzione dei caratteri dei nomi dominio non-latini. Chi usa Chrome può invece installare l'ultima versione 58 del browser, mentre Safari, Edge e Internet Explorer non sono "vulnerabili" al problema perché semplicemente non supportano il cirillico.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
oasis66621 Aprile 2017, 14:09 #1

Bene...

...ho appena sistemato Firefox!

Andate in about:config e settate su TRUE il seguente valore:

network.IDN_show_punycode

Vi verrà così mostrato il nome reale del sito, sempre.
kwb21 Aprile 2017, 14:29 #2
Originariamente inviato da: oasis666
...ho appena sistemato Firefox!

Andate in about:config e settate su TRUE il seguente valore:

network.IDN_show_punycode

Vi verrà così mostrato il nome reale del sito, sempre.


Ottimo! Grazie!
Dumah Brazorf21 Aprile 2017, 14:31 #3
Porca p*tt*na, se non lo correggono subito saranno disastri allucinanti.
kwb21 Aprile 2017, 14:44 #4
Originariamente inviato da: Dumah Brazorf
Porca p*tt*na, se non lo correggono subito saranno disastri allucinanti.


Effettivamente è abbastanza grave questa cosa. Credo che l'unico modo per accorgersene sia guardare il certificato SSL, ma difficile succeda. Personalmente guardo molto raramente i certificati SSL..
Sandro kensan21 Aprile 2017, 15:11 #5
Tutto previsto, gli stessi programmatori di Mozz://a l'hanno messo in conto quando hanno messo in piedi l'algoritmo:

https://wiki.mozilla.org/IDN_Display_Algorithm

In fondo alla pagina si legge:

Downsides

This system permits whole-script confusables (All-Latin "scope.tld" vs all-Cyrillic "ѕсоре.tld". However, so do the solutions of the other browsers, and it has not proved to be a significant problem so far. If there is a problem, every browser is equally affected.

La soluzione al problema non sono i punycode come suggerito da oasis, questo è un metodo elitario di risolvere il problema che va bene solo per la gente occidentale mentre gli altri rimangono nella c@cc@: un po' razzista come soluzione.

La soluzione invece potrebbe essere questa:

Se potessi suggerire una soluzione agli sviluppatori di Moz://la direi
che dovrebbe essere segnalata la lingua dei caratteri dell'url mostrato.

Per esempio di seguito a
аррӏе
si potrebbe mostrare un paio di caratteri in cirillico a indicare che
l'url è in cirillico, di seguito a apple si potrebbe mostrare (lat) per
indicare che i caratteri sono in latino.

Poi nelle preferenze si potrebbe indicare il set di caratteri di default
in modo tale da non avere alcuna indicazione solo per la lingua scelta.

In tal modo apple.com (latino) potrà apparire come tale e аррӏе.com (cirillico) apparirà come:
аррӏе.com (Ж&#1049
o roba simile.

Oppure si potrebbe evidenziare con dei colori il link che non è standard
(come impostato in preferenze). Chi scarica firefox en/it/es, ecc avrà
impostato la lingua di default dei link su latin), chi scarica firefox
in russo e altri paesi dell'est lo avrà in cirillico, chi scarica la
versione cinese avrà impostato i caratteri han, ecc.

Edit: ho letto un commento oppure un articolo (non ricordo) in cui si evidenziava che Edge e Opera (mi pare) non gestivano il cirillico per cui il problema non si poneva.

Un buon browser dovrebbe fare vedere apple.com anche se è scritto in cirillico perché è verosimile che un russo voglia registrarsi un sito con i suoi caratteri. Se non si vede allora il browser è adatto solo agli occidentali, quindi sostanzialmente incompleto e/o razzista.
alexdal21 Aprile 2017, 16:33 #6
appena provato: chrome ha il problema Edge invece no
DjLode21 Aprile 2017, 16:40 #7
Originariamente inviato da: alexdal
appena provato: chrome ha il problema Edge invece no


Chrome ultima versione (58.qualcosa) non ha il problema. Se riesci aggiorna.
FirePrince21 Aprile 2017, 17:29 #8
Basterebbe colorare la barra degli indirizzi di rosso quando il sito visitato ha un indirizzo in caratteri diversi da quelli di sistema (o peggio ancora, misti). Anche un utonto si accorgerebbe che c'e' qualcosa che non va...
Sandro kensan21 Aprile 2017, 17:30 #9
deleted.
Sandro kensan21 Aprile 2017, 17:41 #10
Originariamente inviato da: FirePrince
Basterebbe colorare la barra degli indirizzi di rosso quando il sito visitato ha un indirizzo in caratteri diversi da quelli di sistema (o peggio ancora, misti). Anche un utonto si accorgerebbe che c'e' qualcosa che non va...


Nel caso di caratteri misti viene mostrato il punycode.

Esempio di punycode:
http://www.xn--perch-fsa.it/
per il sito www.perché.it

Concordo che nel caso di caratteri diversi dal proprio linguaggio basta evidenziare il link.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^