Nueva chapuza en Firefox 2.0: su mecanismo anti-phishing

Enviado por admin el 31. Octubre 2006 - 19:42.

ATENCIÓN: El ejemplo mencionado en el artículo a día de hoy (3-NOV) ya no sirve, porque se ha añadido la URL ofuscada a la lista negra. Sin embargo aún sigue siendo válido el siguiente ejemplo, donde sólo varía una vocal (mayúscula o minúscula): Phishing CON alerta >> Phishing SIN alerta.

Una nota en Ha.ckers.org me puso hoy sobre aviso. "No puede ser, no puede ser", me dije. Pero me puse a comprobar todo punto por punto y los hechos son los que son, y demuestran -a mi modo de ver- que el actual mecanismo antiphishing de Firefox 2.0 no sirve para nada, puesto que cualquier sitio malicioso puede saltárselo sin más que codificar en hexadecimal la dirección del sitio. Y no, ni siquiera cabe el consuelo de pensar que Explorer 7 también pica... porque el navegador de Microsoft no se deja engañar por el método que a continuación paso a contaros...

Tomemos un sitio de phishing, clasificado como tal en la (por otra parte exigua) lista negra que Firefox parece utilizar. Por ejemplo éste:

http://200.119.135.99/ebay/login5878/

Si se introduce esta dirección en la barra de direcciones de Firefox 2.0, al poco rato salta la alarma anti-phishing. Hasta aquí, todo correcto.

Ahora, codificamos la dirección IP en hexadecimal mediante esta "calculadora".

En base a este resultado, reconstruimos ahora la dirección original, que adopta la siguiente forma codificada:

http://0xc8.0x77.0x87.0x63/ebay/login5878/

Copipasteamos ahora la nueva URL en la barra de direcciones y, sorprendentemente, Firefox 2 nos lleva al sitio falsificado, sin emitir esta vez ni un solo aviso de advertencia. Por tanto, ya saben los sinvergüenzas cómo saltarse la "protección" anti-phising de Firefox 2.0.

¿Me he equivocado en algo? ¿Acaso vuestros resultados no concuerdan con los míos? Porque si esto es así, Firefox 2.0 puede estar haciendo más daño del que parece, al dar una sensación de falsa seguridad a los usuarios, que es lo peor que -en mi opinión- puede dar un producto. Si uno navega con un browser inseguro, al menos sabe que debe andarse con cuidado, pero si lo hace con uno que se dice superseguro, puede sentirse tentado de bajar la guardia.

Y por cierto, hablando de tentaciones... No pude resistirme a probar todo esto en Explorer 7 (Vista RC1). Pues bien; Explorer 7 no pica, ya que sus alarmas saltan tanto con la URL normal como con la codificada (que automáticamente se convierte a la anterior).

Las comprobaciones de esta nota las he realizado en Firefox 2.0, tanto en Linux como en Windows XP, con idénticos -y preocupantes- resultados.

Por favor; que alguien me diga cuanto antes dónde me he equivocado. Esto no puede ser posible.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Ya hice todo lo que indicas

Enviado por frodho0425 el 31. Octubre 2006 - 20:07.

Ya hice todo lo que indicas y único que me sale es una pagina en blanco limpie el cache y todo eso pero me sigue saliendo paginas en blanco

no sé si hago algo mal

Enviado por ArinArin el 31. Octubre 2006 - 20:47.

Hola, aquí FF2.0 recién bajado e instalado en un MacIntel con MacOS X (tiger). En el primer caso salta el aviso. En el segundo "Firefox no puede encontrar el servidor en 0xc8.0x77.0x87.0x63". Espero que os sirva de algo. Saludos, G.

leandono

Enviado por leandono el 31. Octubre 2006 - 20:47.

No se si lo habrán arreglado, pero entrando con las dos direcciones me aparece la advertencia en Firefox

Pues debo ser muy burro...

Enviado por admin el 31. Octubre 2006 - 20:57.

...porque a mí me sigue saliendo lo que cuento en la nota.

im-presionante

Enviado por pepemanue el 31. Octubre 2006 - 21:07.

pues si que parece que la chapuza es de dimensiones considerables. Parece que han implementado esta funcionalidad al estilo "rápido que nos vamos" y lo único que hacen es una comparación textual de la URL.

Ejemplos:

esto lo pilla: http://200.119.135.99/ebay/login5878/

esto no:
http://200.119.135.099/ebay/login5878/

esto tambien lo pilla: http://www.google100.com/c/forget_password.asp

pero esto no: http://www.google100.com/c/forget_password.Asp

en dos palabras: im presionante ...

por?

Enviado por jsalvia el 31. Octubre 2006 - 21:13.

Porque ese odio indiscriminado a firefox?

en Mandriva y FF2.0

Enviado por edwin el 31. Octubre 2006 - 21:20.

este trucho en hexadecimal si funciona en mi FF2.0 (Mozilla/5.0 (X11; U; Linux i686; es-AR; rv:1.8.1) Gecko/20061010 Firefox/2.0) lo cual me produce algun desconsuelo... que lastima. Igual sigo apostando al FF

Siguiendo las instrucciones

Enviado por Voyager el 31. Octubre 2006 - 21:58.

Siguiendo las instrucciones en Ubunto Edgy Y FF2.0 funciona perfectamente...

Esta noche probaré a ver que tal se porta en Windows...

En windows si que falla...

Enviado por Voyager el 31. Octubre 2006 - 23:27.

En windows si que falla...

Bueno, es una sencilla validacion de la barra de direcciones... nada complicado de solucionar :)

Test

Enviado por Voynich el 31. Octubre 2006 - 23:44.

lo hice paso a paso y no te has equivocado en nada... se saltó la restricción tal como dijiste...
tengo FF2.0 con WinXP SP2. Con linux igual me sucede.

Pero no creo eso haga a FF tan monstruoso como IE. Después de todo ya sabemos que es posible romper la restricción. Solo nos queda estar atentos ante cualquier URL extraña

Saludos

1234siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...