Apple o non Apple, questo è un problema

L’abbiamo letto e sentito (e magari anche detto) mille volte: per evitare che ci vengano carpite in modo fraudolento informazioni personali riservate — login e password di servizi importanti, dati della carta di credito, informazioni bancarie — è fondamentale controllare sempre che l’indirizzo (URL) del sito riportato nella barra degli indirizzi del browser sia quello legittimo.

Infatti, anche se per un qualunque malintenzionato è piuttosto facile creare un sito fittizio identico a quello legittimo, quello che non può riprodurre è proprio l’URL del sito, che è attribuito in modo univoco ed è gestito da un singolo database distribuito in tutto il mondo.

Un malintenzionato potrà quindi anche ricreare in modo perfetto l’aspetto del sito di PayPal, http://paypal.com, ma dovrà per forza di cose usare un URL leggermente diverso, magari http://pay.pal.com, http://mypaypal.com, o simili, sperando che il malcapitato che ci finisce non se ne accorga. Basta quindi un po’ di attenzione per evitare problemi.

Almeno finora.

Provate ad inserire nella barra degli indirizzi del vostro browser questo URL apparentemente inoffensivo, https://www.xn--80ak6aa92e.com.

Se usare Firefox, Opera o Chrome (fino alla versione 57.x), quando premete Invio siete portati ad un sito web il cui URL sembra essersi trasformato quasi magicamente in quello di Apple.


A questo punto, basterebbe riprodurre l’aspetto del sito di Apple per rendere il sito finto praticamente indistinguibile da quello legittimo, con gravissimi pericoli per la sicurezza dei malcapitati che dovessero finirvi.

Per fortuna, Safari non è soggetto a questo problema e mostra sempre nella barra degli indirizzi l’URL originale. Anche i browser Microsoft, Edge e il venerabile Internet Explorer, sono immuni, a meno di non usare il Russo come lingua di sistema.

Il bug è legato all’uso dei caratteri unicode per gli indirizzi web, o meglio alla rappresentazione dei caratteri unicode tramite i soli caratteri ASCII (detta rappresentazione punycode).

L’URL https://www.xn--80ak6aa92e.com/ rappresenta delle lettere dell’alfabeto cirillico che sembrano identiche (o quasi) a quelle dell’alfabeto latino, ma che rimandano ad indirizzi web completamente diversi da quelli originali.1 La stessa cosa si può fare anche con altri alfabeti che hanno lettere simili alle nostre, fra cui il greco e l’armeno (anche se mi sembra per quest’ultimo le letetre simili siano veramente poche).

I dettagli tecnici del bug si possono leggere qui.

Quello che mi preme di più è spiegare come proteggersi. Perché è chiaro che inizieranno prestissimo degli attacchi basati su questa debolezza della codifica unicode, attacchi molto più pericolosi e difficili da smascherare di quelli che abbiamo dovuto subire finora.

Come già detto, Safari, Edge ed Internet Explorer non sono a rischio. Per chi usa Chrome, basta aggiornare alla versione 58.x appena rilasciata. Per Opera non è chiaro cosa succederà, ma comunque Opera ha una quota di utenti relativamente ridotta rispetto agli altri due browser a rischio.

Il vero problema è Firefox. Perché gli sviluppatori di Firefox hanno annunciato che cambiare il comportamento di default del browser creerebbe problemi agli “utenti le cui lingue non usano l’alfabeto latino” e che invece “loro vogliono che tutte le lingue e gli alfabeti siano trattati allo stesso modo su internet”.

Un intento nobile, ma anche pericoloso. Per fortuna c’è la possibilità di cambiare il comportamento di default di Firefox, accedendo alle pzioni avanzate di configurazione del browser.

Per farlo, basta scrivere about:config nella barra degli indirizzi del browser e premere Invio. Comparirà una scritta bella grande che ci informa che l’operazione può invalidare la garanzia, compromettendo la stabilità, la sicurezza e le prestazioni del browser. Decisamente eccessivo. Non preoccupatevi e cliccate senza paura sul tasto che vi fa accettare il rischio.

Inserite ora la stringa punycode nella barra di ricerca in alto. Comparirà un unico parametro di configurazione, network.IDN_show_punycode, il cui valore di default è false. Fate doppio click su false, trasformandolo in true, e chiudete la pagina di configurazione. Da ora in poi anche Firefox si comporterà come Safari e sarete al sicuro da possibili attacchi di questo tipo.

Per ulteriori approfondimenti, consiglio di leggere prima di tutto l’articolo originale che descrive il problema, Phishing with Unicode Domains di Xudong Zheng. Molto interessante e dettagliato anche This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera di Mohit Kumar, mentre Chrome And Firefox Adding Protection Against This Nasty Phishing Trick e Chrome and Firefox Phishing Attack Uses Domains Identical to Known Safe Sites, riportano altri due esempi di URL a rischio.


  1. Se si guarda attentamente, la ӏ di apple visibile nella barra degli indirizzi non è proprio una l ma una lettera dell’alfabeto cirillico). 
Annunci
Tagged with: , , , , , , , , ,
Pubblicato su software
4 comments on “Apple o non Apple, questo è un problema
  1. frix ha detto:

    Acc… faccio parte della quota relativamente ridotta che usa Opera e su mobile Brave.
    Quindi mi informerò.

    I miei complimenti per la qualità generale del post.

    Mi piace

    • Sabino Maggi ha detto:

      Visto che usi Opera, sarebbe interessante sapere se anche l’ultima versione è soggetta a questo bug.

      Grazie per l’apprezzamento, l’argomento mi sembra estremamente importante, un pericolo molto grave. Non a caso ne ho parlato immediatamente, senza rispettare la normale programmazione (degli articoli).

      Mi piace

  2. Sabino Maggi ha detto:

    Veloce aggiornamento:

    Sul Mac l’ultima versione di Opera Developer è immune dal baco. Immagino che sia successo lo stesso con Opera standard.

    Su iOS: tutto OK con Safari e Firefox. Anche Chrome è stato appena aggiornato e ora si comporta correttamente.

    Mi piace

  3. infoanimatech ha detto:

    Ottimo articolo molto tecnico! Io mi occupo anche di elettronica ma in maniera diversa se ti va puoi visitare il mio Blog https://animatechblog.wordpress. Lo potresti trovare interessante
    io ti sto già seguendo 👍🏻

    Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow MelaBit on WordPress.com
Categorie
Archivi
%d blogger hanno fatto clic su Mi Piace per questo: