Bueno, cree de nuevo. Al menos si está utilizando Chrome o Firefox. ¿No nos crees? Bueno, inspeccione el nuevo sitio de Apple, en . Observa algo? Si no está utilizando un navegador impactado, simplemente está viendo una URL inusual después de abrir la página web, de lo contrario, es bastante legítimo. Esta es una página para demostrar un tipo de vulnerabilidad de Unicode en exactamente cómo se interpreta el navegador, así como la URL al usuario. Observe el HTTPS válido. Del programa el dominio no es de Apple, es realmente el dominio: “”. Si abre la página, puede ver la URL real al hacer clic con el botón derecho, así como elegir la fuente de vista.
Entonces, ¿qué está pasando? Este tipo de ataque de phishing, entendido como ataques de homografía IDN, depende de la verdad de que el navegador, en esta situación, cromo o Firefox, interpreta el prefijo “Xn–” en una URL como un prefijo de codificación compatible con ASCII. Se llama punycode, así como es un método para representar a Unicode utilizando solo los caracteres ASCII utilizados en los nombres de la retención web. Imagina una especie de base64 para dominios. Esto permite que los dominios con caracteres mundiales se registren, por ejemplo, el dominio “xn--s7y.co” es equivalente a “短 .co”, ya que [Xudong Zheng] discute en su blog.
Los diferentes alfabetos tienen diferentes glifos que trabajan en este tipo de ataques. Tome el alfabeto cirílico, incluye 11 glifos en minúsculas que son similares o casi similares a las contrapartes latinas. Estas clases de ataques, donde un atacante reemplaza una letra por su contraparte, se entiende comúnmente, y suelen ser mitigadas por el navegador:
En Chrome, así como Firefox, el tipo Unicode se ocultará si una etiqueta de dominio incluye caracteres de varios idiomas diferentes. Es posible registrar dominios como “xn--pple-43d.com”, que es equivalente a “АPPLE.COM”. Puede que no sea evidente a primera vista, sin embargo, “АPPLE.COM” utiliza el Cirílico “А” (U + 0430) en lugar de la ASCII “A” (U + 0041). El dominio “АPPLE.com” como se explica anteriormente aparecerá en su tipo de código punycode como “xn--pple-43d.com” para limitar la confusión con el genuino “Apple.com”.
Hasta ahora, así, los navegadores filtran este tipo de sustitución de caracteres de contraparte. Sin embargo hay una captura. Parece que la mitigación deja de funcionar cuando todos los caracteres en la URL utilizan el mismo alfabeto exacto. El dominio “Арре.com” como en el sitio que se muestra antes, registrado como “xn--80ak6aa92e.com”, pasa por alto el filtro utilizando solo caracteres cirílicos. Uno puede comprender por qué un diseñador puede haber seleccionado este comportamiento, sin embargo, proporciona un problema, como se demuestra.
Esto afecta la versión actual del navegador Chrome, que es la versión 57.0.2987, así como la versión actual de Firefox, que es la versión 52.0.2. Esto no afecta a los exploradores web o los navegadores de Safari. Si está utilizando Firefox, puede activar la traducción de Punycode sobre: CONFIG MOTANTE BY MODERING BETHING.IDN_SHOW_PUNYCODE A TRUE. Si está utilizando Chrome, tendrá que esperar en la actualización. O inspeccione manualmente el certificado HTTPS en los sitios web habilitados HTTPS.
¿No se acaba de atraer para registrar un dominio para ir tan bien como los phish los phishers?
[Gracias Chrisatomix]
