Uma das técnicas mais usadas por cibercriminosos para roubar dados de usuários na web é a chamada “phishing”, em que um e-mail ou site falsos induzem a vítima a entregar informações pessoais aos hackers. Muitas vezes, esses criminosos se aproveitam de uma brecha bem conhecida do Chrome.
O problema é no punycode, um protocolo de programação que “traduz” caracteres do endereço de uma página para um conjunto de outros códigos que representem aquele caractere no idioma local do domínio. Um exemplo é o este site, identificado como apple.com, mas que não leva à página da Maçã.
Em vez disso, o usuário é direcionado para uma outra página endereçada como https://www.xn--80ak6aa92e.com. O prefixo “xn” é o que faz o golpe dar certo: eis aqui o punycode que traduz o endereço original em “apple.com”. É também assim que um domínio identificado como “xn--s7y.co” aparece em navegadores chineses como “çŸ.co”, para citar outro exemplo.
O Google começou a corrigir essa brecha na versão de testes do Chrome, conhecida como Chrome Canary. A ideia é que o usuário seja informado de que um determinado domínio foi traduzido usando punycode, e, assim, pode não estar acessando o site que pensa que está. A correção deve chegar à versão estável do navegador e para todos os usuários em breve.