Perchè destano preoccupazione i nuovi domini .zip?

22/05/2023

mov unicode zip

L’introduzione dei domini di primo livello “.zip” da parte di Google ha sollevato negli ultimi giorni non poche preoccupazioni in ambito di sicurezza. Oltre all’opportunità di registrare domini ad-hoc del tipo “archivio.zip“, “documenti.zip” o “backup.zip” (sfruttando quindi l’associazione con i formati di compressione .zip) è emersa la possibilità di utilizzare specifici caratteri Unicode negli URL che, grazie anche all’utilizzo del separatore “@”, consentono di dirottare le vittime verso domini malevoli.

Secondo quanto riportato in un post pubblicato da un ricercatore di sicurezza, i browser basati su Chromium permettono di utilizzare i caratteri Unicode U+2044 (⁄) e U+2215 (∕) che sembrano identici al legittimo carattere slash (/). Questi caratteri combinati con il separatore @, utilizzato nelle URI per identificare dominio (alla sua destra) ed informazioni utente (alla sua sinistra) permettono di generare un URL con un “dominio fittizio”. L’utente viene rimandato al dominio indicato dopo la @ anzichè al dominio osservato nel URL a sinistra della @.

Un esempio banale è rappresentato dal seguente “URL”:

https://google.com∕gmail∕inbox@bing.com

Copiando ed incollando questo URL sul browser, che contiene i caratteri Unicode (2044 e 2215) al posto dello slash (002F), l’utente verrà rediretto su bing.com, dominio indicato dopo la @, anzichè sul dominio google.com.

L’utilizzo dei caratteri Unicode 2044 e 2215 è necessario per evitare di usare il “vero” slash: infatti il separatore @ è valido solo nella parte authority di un URL e non può comparire quindi alla destra di uno slash ( in questo caso è considerato un semplice carattere senza particolare semantica).

Diversi ricercatori si sono sbizzarriti con gli esempi di URL malevoli che potrebbero potenzialmente sfruttare questa tecnica e gli esempi non si sono limitati solo all’uso di domini .zip ma anche ai domini .mov, estensione usata per i file video che quindi potrebbe essere usata per nomi dominio del tipo “video.mov“, “film.mov“, “tutorial.mov“, etc.

Mentre la registrazione di domini .zip utilizzati per ospitare pagine di phishing è già in corso, al momento non si ha evidenza dello sfruttamento dei nuovi TLD unitamente alla tecnica di URL che contengono caratteri Unicode alternativi allo slash ed il carattere @. Questo argomento è ampiamente discusso e nelle ultime ore affrontato anche su alcuni forum noti per la compravendita di malware.

Conclusioni

Si consiglia quindi, come dovuta precauzione, di prestare particolare attenzione agli URL provenienti da fonti esterne e che contengono al loro interno un carattere @. Dato che questo carattere è comunque valido in alcuni contesti, è possibile usare uno strumento come Cyberchef per verificare le componenti di un URL.

Visitando questa pagina ed inserendo l’URL da controllare, si ottengono le componenti base del URL, in particolare l’hostname: