QR code per la pagina originale

Spoofing: problema per tutti i browser tranne IE

Una falla nel sistema IDN (International Domain Name) mette a rischio spoofing tutti gli utenti di browser che non siano IE: apposite stringhe di caratteri possono celare la reale destinazione di un link. IE, non aggiornato a IDN, è immune

,

Arriva dal Shmoo Group segnalazione di una falla che penalizza in modo trasversale la quasi totalità dei maggiori browser in circolazione. La falla, in particolare, colpisce i browser abilitati all’uso degli International Domain Name [IDN]. Salvo, ironia della sorte, solo Internet Explorer.

La definizione di IDN è ricavabile direttamente dal sito Verisign, nome in prima linea nella promozione del sistema: «Gli IDN sono nomi di dominio nei caratteri della lingua di origine. Il nome di dominio nella lingua di origine è seguito da .com, .net o .org […] Poiché la disponibilità delle lingue dipende dai caratteri Unicode, la soluzione migliore è rispondere a questa domanda in base a quanto indicato nel sito Unicode».

Il problema deriva dalla possibilità di indirizzare l’utente su un sito celandone il reale indirizzo. Ciò è ottenibile usando particolari stringhe di caratteri (accettate e codificate dal sistema IDN) per produrre link adatti alla pratica di spoofing. Secunia ha giudicato il problema come «moderatamente critico», ma va segnalato come da tempo il sistema IDN susciti non pochi dubbi: l’ICANN già nel 2002 aveva espresso le proprie perplessità circa l’adozione del sistema Unicode nella registrazione dei nomi a dominio.

L’attuale problema segnalato nell’interpretazione dei domini IDN è sottoscrivibile alla sezione degli “Omograph attack“, ove l’omografia («l’ortografia di un termine in una lingua è identico a quella di un termine in un’altra lingua») diventa un potente mezzo per la falsificazione dei nomi a dominio. La nuova tecnica scoperta dal Shmoo Group e confermata da Secunia è dunque solo un’evoluzione di quanto segnalato fin dal 2002, quando l’accento veniva posto sul pericolo di domini quali G00GLE.com (notare la sottile differenza rispetto a GOOGLE.com).

Se Internet Explorer non paga pegno della falla emersa, il motivo è da ricercarsi nel mancato aggiornamento rispetto al sistema IDN: per gli utenti IE l’aggiornamento del browser e del client mail deve essere manuale ed ottenibile in seguito all’installazione dell’apposito iClient distribuito da i-dns.net. Coinvolti dal problema Firefox, Mozilla, Opera, Konqueror, Safari, Netscape, Omniweb.