20.04.2017 в 09:56

Хитрая фишинговая атака на Chrome, Firefox и Opera

Атаку заметил китайский исследователь Сю Дун Чжен (Xudong Zheng), но похожие методы использовались еще с 2001 года.

Метод опирается на особенности рендеринга браузером URL в кодировке Punycode, содержащих разноязыкие символы. Punycode уже несколько лет допускается к использованию при регистрации Unicode-доменов во избежание путаницы из-за визуального сходства букв в разных языках (которым нередко пользуются фишеры).

По умолчанию браузеры должны читать URL в Punycode и «переводить» их в Unicode. Однако разработчики браузеров понимают, что Punycode может использоваться с целью маскировки фишинговых сайтов. Например, если зарегистрировать домен xn-pple-43d.com, в Unicode он будет эквивалентен apple.com, хотя на самом деле он использует кириллическую «а» вместо латинской. Поэтому создатели браузеров решили фильтровать как заведомо фишинговые адреса в кодировке Punycode, если ссылка содержит буквы из различных алфавитов. Но злоумышленники могут найти лазейку и тут.

Чжен первым увидел, как можно эксплуатировать эту особенность. Так как различные семейства символов в Unicode содержат вариации на основе латинского алфавита, исследователь зарегистрировал домен на одном из этих языков. Когда символы в Punycode, соответствующие одному языковому набору в Unicode, были распознаны браузерами, подобный адрес смог обойти защитные фильтры. Например, xn-80ak6aa92e.com отображается как арр&񕯿е.com, и заметить подмену можно только посмотрев на сертификат сайта, в котором домен остается в кодировке Punycode.

Браузеры Chrome, Firefox и Opera (в том числе Opera Neon ) уязвимы к подобной атаке, а Edge, Internet Explorer, Safari, Vivaldi и Brave правильно отображают Punycode URL. Скорее всего, это связано с настройками ОС.

Исследователь обратился к Google и Mozilla 20 января; Google уже исправила баг в версии браузера Canary 59 и начиная с Chrome Stable 58 это исправление будет в браузере постоянно. В Mozilla все еще обсуждают патч, но пользователи имеют возможность отключить поддержку кодировки Punycode.

Источник новости: threatpost.ru

Теги: Punycode, уязвимость, фишинг

475 просмотров

Оставить комментарий

Популярные статьи

Как установить Internet Explorer на Mac OS

прочтений: 8329 23.12.2015 в 19:12
У разработчиков различных программных продуктов очень часто возникает необходимость тестирования своих новых наработок в разных браузерах. Но если для основной работы используются, например, компьютеры... Читать далее
Браузер Opera Mini как для Android, так и для остальных мобильных ОС, на которых он выпущен (Symbian, iOS, Windows Phone), имеет встроенную функцию сохранения страниц веб-сайтов с дальнейшей возможностью их просмотра без подключения... Читать далее
Часто возникает необходимость сохранять различные страницы в Интернете для последующего их использования. И отлично справляется с этим такая функция браузера, как добавление закладок и, конечно же,... Читать далее
В отличие от браузера Google Chrome, в котором функция сохранения страницы в PDF является встроенной, в Firefox и Opera это достигается установкой специальных расширений и плагинов.... Читать далее
Облако тегов