Firefox inhabilitará la ayuda de IDN como defensa contra el Phishing

El equipo del desarrollo de Mozilla ha afirmado, que inhabilitará una característica del navegador, que permita el URL spoofing y podría dejar usuarios indefensos frente a los scams. Los próximos lanzamientos de los navegadores Firefox y Mozilla, quitarán el soporte para los nombres internacionalizales de dominio (IDN) que incluyen por defecto, para proteger a usuarios contra spoofing, el cual, esta padeciendo en las versiones actuales de Firefox, de Mozilla, de ópera y del navegador safari para los macs. Los navegadores afectados soportan IDN, mientras que el Internet Explorer de Microsoft no.

El spoof explota el defecto, que sucede cuando el navegador interpreta en Unicode, un amplio número de caracteres, los cuáles son usados por el IDN y permite que las URLs incluyan caracteres no-Ingleses. Estos caracteres unicode se pueden utilizar para hacer los ataques a mano, en los cuales, dos combinaciones diversas de estos caracteres, junto al HTML pueden exhibir la misma URL en el navegador, pero envía a usuarios a diversos sitios. La suplantación de URL es útil a los scams phishing de Internet, haciéndo que sea más fácil engañar a las víctimas, y hacer que compartan información sensible con los sitios falsos diseñados por estas personas.El defecto spoofing fué demostrado por el grupo de Shmoo, que utilizó un acoplamiento de Unicode para exhibir www.paypal.com en la barra de la dirección de browsers afectados, pero envía a los usuarios a www.xn — pypal-4ve.com, que entonces muestra “www.paypal.com” en su barra de la dirección. Un spoof similar trabaja en URLs SSL-PERMITIDO (https) usado comúnmente en sitios de actividades bancarias y del e-comercio.

El ataque se puede inhabilitar en Firefox y Mozilla cambiando ‘ network.enableIDN ‘ a falso en la configuración del browser (incorpore about:config a la barra de la dirección para tener acceso a las funciones de la configuración). El equipo deldesarrollo de Mozilla hoy hizo el arreglo del defecto.

“esto es obviamente una solución insatisfactoria a largo plazo y se espera que con un arreglo mejor se puede desarrollar para Firefox 1.1,” dijo la fundación Mozilla. Por ahora, la fundación Mozilla (y otros desarrolladoress de navegadores, tales como los desarrolladores de ópera), mantienen que el problema, es sobre todo el fallo en los registros de los nombres de dominio y de los encargados que dejan a la gente colocar variantes homográficas de los nombres existentes.

El equipo de Mozilla afirmó, que los encargados de los registros de los dominios, no están haciendo caso a las pautas de ICANN en cuanto a IDN, y ha desarrollado una lista de los caracteres problemáticos de Unicode, que se podrían prohibir en los nombres de dominio, para limitar ataques homográficos.

Categorias: Nacional

Etiquetas:

Los comentarios están cerrados