Nou, geloof opnieuw. Tenminste als u gebruik maakt van chroom of firefox. Geloof ons niet? Nou, inspecteer Apple nieuwe site dan, op https://www.apple.com. Merk alles op? Als u geen beïnvloedde browser gebruikt, ziet u gewoon een ongebruikelijke URL na het openen van de webpagina, anders is het vrij legitiem. Dit is een pagina om een type unicode-beveiligingslek in precies te laten zien hoe de browser interpreteert en de URL aan de gebruiker toont. Let op de geldige https. Van het programma is het domein niet van Apple, het is echt het domein: “https://www.xn--80ak6aa92e.com/”. Als u de pagina opent, kunt u de daadwerkelijke URL zien door met de rechtermuisknop te klikken en te kiezen.
Dus wat is er aan de hand? Dit type phishing-aanval, begrepen als idn homograaf aanvallen, hangt af van de waarheid dat de browser, in deze situatie chroom of firefox, het prefix “XN–” in een URL interpreteert als een ASCII-compatibel coderingsvoorvoegsel. Het wordt punycode genoemd en het is een methode om Unicode te vertegenwoordigen die alleen de ASCII-tekens gebruikt die worden gebruikt in namen van Web Hold. foto een soort base64 voor domeinen. Hierdoor kan domeinen met wereldwijde tekens worden geregistreerd, bijvoorbeeld het domein “XN–S7Y.CO” is gelijk aan “短 .co”, als [Xudong Zheng] bespreekt in zijn blog.
Verschillende alfabetten hebben verschillende glyphs die in dit soort aanvallen werken. Neem het Cyrillische alfabet, het bevat 11 kleine letters glyphs die vergelijkbaar of bijna vergelijkbaar zijn met Latijnse tegenhangers. Deze klasse aanvallen, waar een aanvaller één letter voor zijn tegenhanger vervangt, wordt gewoonlijk begrepen en wordt meestal door de browser gemitigeerd:
Zowel Chrome als Firefox is het Unicode-type verborgen als een domeinlabel tekens uit verschillende talen bevat. Het is mogelijk om domeinen te registreren, zoals “XN–PPLE-43D.com”, die gelijk is aan “АPLE.com”. Het is misschien niet duidelijk op een allereerste blik, maar “аPle.com” maakt gebruik van de Cyrillische “А” (U + 0430) in plaats van de ASCII “A” (U + 0041). Het “АPle.com” -domein zoals hierboven uitgelegd, verschijnt in zijn punycodetype als “XN–PPLE-43D.com” om de verwarring met de echte “Apple.com” te beperken.
Tot nu toe zo goed, de browsers filtert deze soorten substitutie van tegenhangers. Er is echter een vangst. Het lijkt erop dat de mitigatie stopt met werken wanneer alle tekens in de URL het exact hetzelfde alfabet gebruiken. Het domein “АррLе.com” zoals op de site weergegeven, geregistreerd als “XN–80AK6AA92E.com”, het filter omzeilen door alleen Cyrillische tekens te gebruiken. Men kan begrijpen waarom een ontwerper dit gedrag heeft geselecteerd, desalniettemin biedt het een probleem, zoals aangetoond.
Dit heeft invloed op de huidige versie van Chrome Browser, die versie 57.0.2987 is, evenals de huidige versie van Firefox, die versie 52.0.2 is. Dit heeft geen invloed op Web Explorer of Safari-browsers. Als u Firefox gebruikt, kunt u de punycode-vertaling uitschakelen in ongeveer: config door netwerk.idn_show_punycode naar True te wijzigen. Als u verchroomt, moet u op de update wachten. Of inspecteer het HTTPS-certificaat handmatig in HTTPS-websites.
Ben je niet gewoon gelokt om een domein te registreren om te gaan, evenals Phish the Phishers?
[Bedankt Chrisatomix]