Ne ho sentito parlare per la prima volta dal collega Luigi il tecnologo, e successivamente da altre fonti di informazione. Al momento in cui scrivo il problema sembra esserci oramai solo su Mozilla Firefox, poiché gli altri sistemi deciso di porre rimedio.
Come sapete non esiste solo l’alfabeto latino, ma molti altri tipi di alfabeti con molti altri tipi di carattere, come quello cirillico, arabo eccetera. Questi caratteri di fatto possono essere utilizzati, ovviamente, per registrare dei domini. Si tratta del sistema Unicode e per particolari gruppi di lettere sono sovrapponibili ai caratteri ASCII che contraddistinguono il nostro sistema occidentale.
Xudong Zheng il ricercatore che ha messo in visibilità la questione ha registrato il sito https://www.apple.com. Se visitiamo il link con il browser Mozilla Firefox a sorpresa vedremo che questo sito corrisponde nella url a quello della Apple, persino con tanto di certificato SSL perfettamente valido. In realtà appunto l’indirizzo contiene solo caratteri Unicode e la sua URL reale è https://www.xn--80ak6aa92e.com/ che però nella conversione effettuata del browser sono sostanzialmente indistinguibili all’occhio umano dai caratteri ASCII.
Come avrete intuito è il perfetto passpartout del phishing. Ci si può accorgere solo se prima di cliccare portiamo il mouse sopra il link e guardiamo la URL, oppure se c’è un ritardo nella risposta del server. Il problema è stato risolto da Safari, Edge e Chrome, i quali mostrano la URL con i caratteri Unicode in formato ASCII senza convertirli. Ma non da Mozilla, ne ovviamente i browser più vecchi. Mozilla ha argomentato che la risoluzione del problema sta ai proprietari dei domini, in questo caso Apple, affinché li registrino per non incorrere in problemi… Questa spiegazione lascia quanto meno di stucco. Eppure al momento sono passati parecchi mesi e utilizzando l’ultima versione di Firefox il problema è ancora presente.
Dal mio punto di vista trovo che il problema debba essere risolto dal browser, perché è lui che effettua la traduzione dei caratteri Unicode, e non può essere imputata al proprietario di un marchio. In particolare modo ora che il numero di domini di primo livello è decuplicato.