Cuidado con Edge: pueden colarte una URL falsa como real

Uno de los métodos más comunes que se utilizan en la red para intentar robar datos a los usuarios es intentar colarle direcciones falsas. Este método busca que el usuario introduzca manualmente sus datos en una web creyendo que es la real, pero en su lugar se los está dando a un atacante. El problema viene cuando no se pueden diferenciar las URL falsas de las reales, como se ha descubierto que puede ocurrir en Edge.

Chrome ya se vio afectada por un fallo que afectaba a las URL

Este problema es algo que ya afectó hace un año a Google Chrome, y que la compañía se apresuró a arreglar. La técnica era sencilla: usar caracteres cirílicos en las URL y registrarlas para que parezcan reales. En el caso de Chrome, transformaba una letra como la “a” del alfabeto cirílico a carácter latino, por lo que a ojos del usuario no había diferencia. Una dirección como https://www.аpple.com se ve normal ante nuestros ojos, pero está usando la “а” cirílica, llevando a una URL que traducida es https://xn--pple-43d.com.

Este fallo ya fue subsanado, y esa web en concreto fue bloqueada. Sin embargo, ahora Edge, el navegador por defecto de Windows 10 y que Microsoft intenta forzar a los usuarios a utilizar por ser “más seguro”, es vulnerable a un fallo que se puede explotar con tan sólo cinco líneas de código.

Su descubridor ha sido el investigador argentino Manuel Caballero, y hace que un usuario esté navegando en una web falsa mientras en la barra de direcciones aparece la URL de una web real.

MS Edge - Address Bar Spoof - https://t.co/uus2UX7h3p

Tested on: MS Edge 42.17134.1.0

Thanks @knowledge_2014, your question inspired me to test a bit and stumbled upon this bug. pic.twitter.com/nNPSYgkduY
— Manuel Caballero (@magicmac2000) 2 de mayo de 2018

Por ejemplo, al entrar en la web de demostración se nos muestra lo que ocurre con Paypal. La primera línea de código nos abre una URL, la cual tarda algo en responder. En ese instante, se carga la URL de la web que se quiere suplantar (en este caso PayPal), pero se fuerza a que se detenga inmediatamente su carga.

Un atacante puede cargar cualquier web y hacerte creer que estás en otra con Edge

A partir de ahí, el atacante puede hacer cargar cualquier web (en el caso del ejemplo, nos aparece una con el mensaje “Spoofed URL on Edge”), pero con una URL en la barra de direcciones que hace pensar al usuario que se encuentra visitando la página real. Este fallo está presente incluso en la última versión de Edge 42.17134.1.0, la cual viene con Windows 10 April 2018 Update.

El fallo ha sido publicado hace unas horas, y Microsoft no ha informado de que estén investigándolo ni cuánto tiempo van a tardar en subsanarlo. En el caso de hacerlo lo harán a través de una actualización de Windows Update. Por ello, si usáis Microsoft Edge, os recomendamos que tengáis mucho cuidado con donde pincháis en la red, y que si accedéis a una página que os esté pidiendo vuestros datos personales sea a través de poner vosotros manualmente la URL o accediendo desde vuestros marcadores con un enlace que sepáis que es el real. También podéis usar otro navegador mientras tanto.

Fuente: adslzone