Хакер #305. Многошаговые SQL-инъекции
Неделю назад Gmail первым среди всех крупных почтовых реализовал поддержку стандарта RFC 6530, зарегистрированном в 2012 году организацией IETF. По этому стандарту, каждый почтовый провайдер должен поддерживать адреса электронной почты с произвольными символами Unicode, будь то китайские иероглифы или болгарская кириллица.
Естественно, текст почтового сообщения тоже должен корректно отображаться в любой письменности.
Сейчас Google сделала следующий шаг, связанный с более грамотной обработкой символов Unicode. На этот раз речь идёт о возможных злоупотреблениях в области социальной инженерии и/или фишинга, когда пользователя обманом заманивают на вредоносный сайт.
Злоумышленники могут сполна воспользоваться полной поддержкой Unicode в тексте и адресах почтовых сообщений, и рассылать письма с поддельными символами, которые выглядят как латиница.
В латинице, кириллице и многих других письменностях существует много одинаково выглядящих символов. Например, злоумышленники могут подделать обратный почтовый адрес или URL сайта в тексте письма, заменив латинский символ на похожий. На иллюстрации внизу показаны некоторые похожие символы из разных письменностей. Как можно убедиться, выбор у мошенников огромный.
Чтобы защититься от этой угрозы, сообщество Unicode давно составило правила, чтобы определять опасные ситуации с использованием похожих письменностей. Эти правила сформулированы в рамках политики Restriction-Level Detection.
Отдел безопасности Gmail сообщает, что фильтры безопасности, в том числе антиспамерский фильтр, с 12 августа 2014 года поддерживают стандарт Restriction-Level Detection и успешно определяют опасные комбинации символов из разных алфавитов.