Браузеры, такие как Chrome, Firefox и Opera, уязвимы перед новой вариацией известной атаки, позволяющей фишерам зарегистрировать поддельные домены, имитирующие настоящие ресурсы Apple, Google, eBay и прочих компаний, предупреждает исследователь из Китая Сюйдун Чжэн.
Техника, описанная специалистом, основана на так называемой омографической атаке, известной с 2001 года.
Несколько лет назад ICANN разрешила использование не входящих в набор ASCII символов (Unicode) в доменных именах. Поскольку некоторые символы Unicode выглядят одинаково, например «а» в кириллице (U+0430) и «а» в латинице (U+0041), ICANN пришла к выводу, что использование символов Unicode может привести к путанице и усложнит отличие легитимных доменов от фишинговых сайтов. В этой связи вместо реального Unicode было решено использовать при регистрации доменов Punycode, представляющий текст Unicode в виде символов ASCII.
По умолчанию производители браузеров должны были трансформировать Punycode URL в символы Unicode внутри браузера. Однако вскоре стало ясно, что Punycode может использоваться для маскировки фишинговых сайтов. Например, если атакующий зарегистрирует домен xn-pple-43d.com, это будет аналогом apple.com, однако в начале слова была бы использована кириллическая «а». Именно поэтому производители браузеров реализовали фильтры, отображающие URL в Unicode, только в том случае, если адрес содержит символы только из одного языка (например, только китайские или только японские).
По словам Чжэна, злоумышленники могут обойти эти фильтры. Существует множество языков, использующих латинский алфавит, следовательно, и символы Unicode. Исследователь зарегистрировал домен на одном из таких языков. Поскольку был использован набор символов только из одной группы языков в Unicode, антифишинговый фильтр не распознал присутствие символов из других языков.
К примеру, зарегистрированных специалистом домен xn-80ak6aa92e.com отразился как аррӏе.com (но с символами из кириллицы). В таком случае, единственным способом распознать фишинговый сайт будет проверка лицензии страницы, где домен отображается в Punycode.
Перед подобными атаками уязвимы браузеры Chrome, Firefox, а также Opera (в том числе новая версия Opera Neon). Браузеры Edge, Internet Explorer, Safari, Vivaldi и Brave проблеме не подвержены.
Чжэн связался с Google и Mozilla в январе нынешнего года. Google уже исправила проблему в Chrome Canary 59, полноценный патч будет выпущен в составе Chrome Stable 58. Инженеры Mozilla еще не подготовили исправление, а пока рекомендуют пользователям отключить поддержку Punycode.
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
