Usuários do Chrome e do Firefox estão vulneráveis a phishing de URLs desde janeiro

Um bug relatado para o Google no dia 20 de janeiro (sim, há quase três meses!) está mantendo usuários do navegador Chrome (e do Firefox, também) em risco alto de ameaças de phishing, conforme informou o Engadget. A vulnerabilidade afeta o protocolo Punycode, responsável por permitir a representação de caracteres avançados do padrão Unicode na codificação suportada por sistemas de registro de domínios na internet.

O cenário não é simples de se descrever — e até então, este era um conceito pouco explorado fora de países com idiomas não-latinos, a exemplo da China —, mas os efeitos podem ser catastróficos. No caso dos navegadores citados, esta falha permite, por exemplo, que um usuário malicioso registre um site falso usando como domínio a representação Punycode do domínio apple.com, que então é interpretada pelos browsers do Google e da Mozilla como legítima.

Prova de conceito no Firefox (phishing)

Além de a representação visual do nome ser passível de comprometimento, caso o autor do ataque registre um certificado digital válido em qualquer autoridade na internet, o Chrome pode ser “enganado” na validação de autenticidade, por exemplo. Desta forma, fraudes podem ser efetuadas sem deixar ao usuário comum nenhuma possibilidade de identificar que está sendo enganado.

Provas de conceito desta vulnerabilidade estão disponíveis para testes sem risco de comprometimento. Para o Chrome, o Google já implementou uma correção em suas builds de testes — que será disponibilizada para o grande público nos próximos dias. Já os navegadores Safari, Internet Explorer e Edge estão lidando com este cenário de internacionalização da maneira correta e não oferecem riscos aos seus usuários.

Fraudes por phishing são uma das categorias de ataques que mais crescem na internet: entre 2015 e 2016, suas ocorrências quase quadruplicaram. Existem diversas medidas destinadas a conter este cenário, mas o primeiro passo é garantir que seu computador esteja devidamente atualizado contra ameaças.

[dica do Jorge Mercês de Barros]

Posts relacionados

Comentários