Revelan una forma de engañar a los navegadores para que lleven a sitios falsos

Un programador chino descubrió que los principales navegadores mostrarán direcciones legítimas que apuntan a servidores maliciosos mediante un truco muy simple

Porque siempre hay una nueva rendija por donde colar código malicioso, un desarrollador de aplicaciones Web llamado Xudong Zheng descubrió un tipo de phishing que es virtualmente imposible de detectar.

En el phishing, los estafadores envían a sus potenciales víctimas un mail en el que, con algún pretexto verosímil, las urgen a hacer clic en un vínculo. Por ejemplo, les informan sobre una compra hecha con la tarjeta de crédito en el sitio de Apple (www.apple.com). Asustados, muchos usuarios no verifican la legitimidad de la dirección Web y entregan su nombre de usuario, contraseña y otros datos sensibles.

La única forma de evitar esta clase de engaño es revisar que en la barra de direcciones diga, para el caso antes citado, https://www.apple.com. ¿Qué hacemos si dice https://www.apple.com? Confiamos. Así dicen las más básicas normas de seguridad.

Lo que vino a descubrir Xudong Zheng es que se puede engañar a los principales navegadores (Chrome, Firefox, Opera) para que utilicen ciertos caracteres de idiomas como el cirílico, cuyo aspecto es idéntico al de letras del inglés, y así componer un dominio que se ve igual, pero que es por completo falso. Tal táctica se conoce como ataque homógrafo de dominios internacionalizados.

A principios de este año, Google llevó a los tribunales a Vitaly Popov, un spammer ruso que tenía registrado un sitio con un dominio similar a google.com, pero reemplazando la G con la versión cirílica (se ve como una G mayúscula, pero el caracter tiene la misma altura de las demás letras minúsculas).

Entra en escena Punycode, que sirve para registrar dominios internacionalizados que contienen caracteres en Unicode con el más limitado conjunto ASCII. Los navegadores poseen un mecanismo para revelar los ataques homógrafos cuando las direcciones contienen caracteres de varios lenguajes diferentes. Pero hecha la ley, hecha la trampa. Si se logran encontrar letras de un solo idioma que coincidan con las del inglés, el filtro falla. Así, una dirección que se ve igual a la de Apple, pero que es falsa, tendría en realidad este aspecto:

https://xn--80ak6aa92e.com

Pero sólo en Firefox puede forzarse al navegador a mostrar el código en Punycode.

Entre tanto, Mozilla está considerando cómo resolverá la situación, y Google lanzará un parche para evitar esta peligrosa forma de engaño en las próximas semanas, cuando salga la versión 58 de Chrome (ahora está en la 57.0.2987.133).

Los usuarios de Firefox pueden activar la función que muestra la dirección en Punycode y la revela siempre en Unicode, y así evitar los ataques homógrafos. Para eso hay que escribir en la barra del navegador la dirección:

about:config

El aviso de que entrar en esta sección de Firefox desactivará tu garantía es una broma. Podés hacer clic En "¡Acepto el riesgo!" sin problema. Aunque, ciertamente, no es buena idea estar cambiando cosas aquí sin saber exactamente lo que hacés.

Luego, hay que buscar "Punycode". Aparecerá una sola línea, algo críptica:

network.IDN_show_punycode

IDN viene de Internationalized Domain Names. Ese valor está, de forma predeterminada, en Falso (es decir, Desactivado); o sea, no muestra las direcciones en Punycode. Con un doble clic se lo pasa a modo Verdadero. De esta forma, las direcciones homógrafas que contienen IDN con caracteres de un sólo lenguaje se delatarán cuando entremos en el sitio.

Aquí, una demostración creada por el desarrollador chino para probar la vulnerabilidad.