Cuando una letra no es la letra que pensabas. Ataques phishing IDN homógrafo o la importancia de actualizar

Algunos usuarios de productos Apple no actualizan con los últimos parches de seguridad sus dispositivos por diferentes motivos (que no vamos a analizar aquí). Tener por ejemplo un iPhone sin estar actualizado a la última de las versiones supone una exposición continua a posibles ataques relacionados con bugs o errores presentes en la versión actual de iOS. Es una situación un poco extraña ya que esos errores ya están corregidos en versiones posteriores, por lo tanto es decisión propia del usuario estar expuesto a ellos.
El ataque IDN (Internationalized Domain Name) homógrafo, el cual consiste en colocar una letra parecida a la original para simular una dirección web legítima utilizando a su vez códigos Unicode, es uno de estos ataques que se pueden solucionar simplemente actualizando el sistema (al igual que ocurrió con el famoso error del carácter Telugu que también te contamos aquí) . Ocurre exactamente cuando alguien registra un nombre de dominio utilizando un carácter Unicode que se parece mucho a a una de las letras originales, pero realmente no lo es. De esa forma al hacer click sobre una dirección web, nos llevará a otra en vez de a la original.
Figura 1. Explicación de un ataque IDN homógrafo utilizando caracteres Unicode y su problema en Safari. Fuente.
Se utilizan principalmente para phishing donde se crea un clon del servicio o página web original. El año pasado este tipo de ataques fue bastante frecuente y se notificaron muchos incidentes relacionados con él, sobre todo orientado a páginas web relacionadas con criptomonedas. Un investigador de seguridad de la empresa Tencent Security ha comprobado cómo se comporta Apple a la hora de tratar este tipo de incidentes, y parece que ha estado haciendo un buen trabajo comprobando estos Unicodeexcepto con la letra “d” (ver Figura 1).
Este investigador ha encontrado que Apple tiene algunos problemas con la letra generada con el código Unicode U+A771 que corresponde a una letra parecida a la “d”: (ꝱ) ó dum “d”. Parece una letra minúscula “d” como la que se muestra en la imagen de abajo (Figura 2), la cual tiene un apóstrofe justo debajo de la letra bastante llamativo procedente del Latin Extended-D. El problema es que Safari no renderiza correctamente esta letra (el apóstrofe no aparece) y lo que hace es directamente mostrar la letra dum “d” que hemos mencionado anteriormente. Esto lleva a confundir totalmente las dos letras permitiendo este tipo de ataques creando sitios web con nombres muy parecidos a los originales.
Figura 2. Diferencias entre la dum (d) y la letra (d) original. Fuente.
Los investigadores de la empresa Tencent ha informado de este problema a Apple, que finalmente han sido solucionados por las actualizaciones lanzadas en julio los cuales afectaban a Safari, macOS, tvOS y watchOS. Volviendo al tema de no actualizar, aquellos que no tuvieran algunos de los dispositivos que utilizan estos programas o sistemas operativos actualizados, son aún vulnerables a este tipo de ataques. Algunos de los dominios que se han suplantado son LinkedIn, Baidu, Dropbox, Adobe, WordPress, Reddit, GoDaddy, etc. Esto es uno de los problemas que podemos tener en nuestros dispositivos si no los actualizamos regularmente … y también sirve también para cualquier otro, aunque no sea de Apple.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.