Sembra apple.com ma non lo è, ecco il phishing irriconoscibile

Chi usa i browser Chrome, Firefox e Opera per navigare sul web (quindi la maggior parte degli utenti) dovrebbe conoscere il problema nell’implementazione dei caratteri Unicode che è stata diffusa di recente dallo sviluppatore web Xudong Zheng. Zheng ha sviluppato una versione del portale apple.com che potrebbe essere scambiato per quello originale anche dai più esperti. Una pagina di questo tipo potrebbe indurre l’utente ad inserire le credenziali d’accesso senza accorgersi della finalità fraudolenta, credendo che a gestirle ci sia la stessa Apple.

La vulnerabilità sfrutta il modo in cui i tre browser riproducono alcuni caratteri nella barra degli indirizzi. Fino al rilascio di Chrome 58, avvenuto negli ultimissimi giorni, il browser di Google mostrava il testo https://www.xn--80ak6aa92e.com/ come https://www.аpple.com. Lo stesso avviene anche con le attuali versioni di Firefox e Opera, che in via predefinita riproducono quella sequenza di caratteri con l’URL fuorviante. Ma come dimostra il sito proof-of-concept realizzato da Zheng, quel sito non ha nulla a che vedere con la società di Cupertino produttrice dei Mac.

Se l’avesse realizzato un utente con finalità malevole, registrando in anticipo il dominio, avrebbe rappresentato un problema gravissimo nella sicurezza del proprio account iCloud. Sviluppando un portale assolutamente identico a quello Apple (non ci vogliono grandissimi competenze per replicarlo), sarebbe stato semplicissimo rubare dati sensibili dell’utente o le sue credenziali d’accesso all’account Apple (e quindi iCloud, con tutto quello che ne consegue). Lo sviluppatore ha spiegato in maniera dettagliata il funzionamento di questo “attacco di tipo omografico”.

“Punycode rende possibile registrare domini con caratteri stranieri”, ha scritto Zheng. “Funziona convertendo nomi individuali dei domini verso un formato alternativo utilizzando solo caratteri ASCII. Ad esempio il dominio ‘xn--s7y.co’ equivale a ‘短.co’. Sul piano della sicurezza i domini Unicode possono essere un problema perché molti caratteri Unicode non si riescono facilmente a distinguere dai comuni caratteri ASCII. E quindi è possibile registrare domini come ‘xn--pple-43d.com’, che è l’equivalente di ‘аpple.com'”, spiega dettagliatamente lo sviluppatore.

Continuando: “Potrebbe non essere ovvio ad una prima occhiata, ma ‘аpple.com’ usa la а cirillica (U+0430) e non la ‘a’ tipica dei caratteri ASCII (U+0061). Questo si chiama attacco omografico”. I browser riescono a intuire questo tipo di meccanismo, limitando la pericolosità degli attacchi quando vengono utilizzati due tipi di caratteri appartenenti a lingue diverse mostrando la prima versione del dominio. Tuttavia nel proof-of-concept di Zheng Firefox e Opera continuano a fallire nel rilevamento dell’eventuale phishing, così come Chrome prima dell’ultima versione.

Il dominio utilizzato da Zheng viene proposto nella sua interezza con caratteri appartenenti ad una sola lingua straniera, ed è così che il dominio registrato come ‘xn--80ak6aa92e.com’ viene in ogni caso mostrato come ‘аррӏе.com’. Questo perché il sistema di rilevamento considera buona la versione con tutti i caratteri in cirillico. Visivamente i due domini (il portale Apple vero e quello creato ad-hoc) sono indistinguibili per via dei caratteri utilizzati su Chrome e Firefox, dando l’opportunità ad un utente malintenzionato di effettuare scam e furti di dati indisturbato.

Sul forum ufficiale Mozilla, la società ha dichiarato che non intende cambiare il comportamento del browser con il rilevamento dei nomi dominio basati su Punycode perché il cambiamento peggiorerebbe la riproduzione dei caratteri dei nomi dominio non-latini. Chi usa Chrome può invece installare l’ultima versione 58 del browser, mentre Safari, Edge e Internet Explorer non sono “vulnerabili” al problema perché semplicemente non supportano il cirillico. (fonte)

You may also like...