In Chrome, Firefox e Opera è stata individuata una vulnerabilità in grado di mostrare dei siti falsi, presentando il nome che appare nella barra degli indirizzi come se si trattasse dei siti reali originali, visualizzando ad esempio i nomi di Apple, eBay o Google. Il problema è stato evidenziato da Xudong Zheng, un ricercatore cinese esperto in sicurezza informatica: la minaccia era stata già segnalata nel 2001 da due ricercatori israeliani Evgeniy Gabrilovich e Alex Gontmakher ma a quanto pare qualcuno la sta di nuovo utilizzando.
In passato i cybercriminali sfruttavano nomi con caratteri grafici diversi per creare dei siti fasulli con un dominio identico a quello originale. Invece di scrivere apple.com il nome del dominio era “xn-pple-43d.com” (con la “A” in cirillico). Per evitare questi problemi, gli sviluppatori dei browser hanno previsto dei filtri per gli URL sfruttando Punycode, un sistema di codifica che consente di gestire nomi di dominio internazionalizzati aggiungendo all’inizio della stringa punycode i caratteri ‘xn--‘.
Zheng spiega che la tecnica in questione non basta per tenere a bada i cyber criminali. Vulnerabilità nella trascrizione degli URL sfruttando caratteri cinesi o cirillici permette di creare siti fasulli con dominio identico a quello di siti noti. A questo scopo Zheng ha creato il dominio xn-80ak6aa92e.com che in cirillico vuol dire аррlе.com e che con i browser in questione viene mostrato come se fosse davvero il sito Apple.
Non tuti i browser hanno questo problema: Safari di Apple e Edge di Microsoft, ad esempio, sono immuni. Zheng dice di aver avvisato Google da tempo e l’azienda di Mountain View ha fatto sapere che massimo entro la fine di aprile il problema verrà risolto con Chrome 59. Mozilla sta integrando nel frattempo migliorie specifiche e spiega che è ad ogni modo possibile disattivare manualmente il filtro Punycode per bloccare l’attacco phishing: basta aprire Firefox, scrivere “about:config” (senza virgolette) nella barra degli indirizzi, fare click su “Accetto rischi” cercare il parametro “network.IDN_show_punycode” e impostare il valore su “true”.
