Китайский исследователь Сюдун Чжен (Xudong Zheng) предупреждает, что браузеры Chrome, Firefox и Opera уязвимы перед практически необнаружимыми фишинговыми атаками, с помощью которых злоумышленники могут регистрировать поддельные домены, практически неотличимые от настоящих ресурсов Apple, Google, eBay, Amazon и многих других компаний и сервисов. Техника, описанная специалистом, уходит корнями к старой методике омографических атак, о которой известно как минимум с 2001 года.
Несколько лет назад ICANN разрешила использование отличных от ASCII символов (Unicode) в доменных именах. При этом специалисты ICANN понимали, какими рисками это чревато, ведь многие Unicode-символы выглядят практически одинаково: хорошим примером могут послужить кириллическая «а» (U+0430) и латинская «a» (U+0041). Именно по этой причине к использованию был принят Punycode, а не реальный Unicode. В результате получалось, что китайский домен 短.co должен преобразовываться в адресной строке браузера в xn--s7y.co, дабы не вводить пользователей в заблуждение и не создавать лишних проблем.
Чжен пишет, что по умолчанию производители браузеров должны были трансформировать Punycode URL в Unicode-символы внутри браузера, но всем быстро стало понятно, что Punycode может использоваться для маскировки фишинговых сайтов, которым становится проще выдавать себя за легитимные ресурсы. К примеру, если атакующие зарегистрируют домен xn-pple-43d.com, это будет аналогом apple.com, только буква «а» здесь использована кириллическая. Это и есть омографическая атака. Разработчики браузеров противопоставили такому мошенничеству специальные фильтры, которые преобразовывают адрес в Unicode, только в том случае, если Punycode URL содержит символы только одного языка (то есть адрес полностью состоит только из китайских иероглифов, кириллических символов и так далее).
Но исследователь обнаружил, что защиту современных браузеров можно обойти. Чжен предлагает всем желающим посетить proof-of-concept страницу и убедиться своими глазами. Домен, который выглядит в браузере как легитимный ресурс apple.com, на самом деле является доменом xn-80ak6aa92e.com. Дело в том, что слово аррӏе написано кириллическими символами. В подобных случаях антифишинговые фильтры браузеров не срабатывают. Обнаружить подмену можно только изучив подробную информацию о сертификате страницы, где будет отображено реальное имя домена.
Перед такими атаками уязвимы Chrome, Firefox, а также Opera (включая версию Opera Neon). В то же время Edge, Internet Explorer, Safari, Vivaldi и Brave отображают Punycode URL, не вводя пользователей в заблуждение.
Чжен сообщает, что связался с разработчиками Google и Mozilla еще 20 января 2017 года. Инженеры Google уже устранили проблему в Chrome Canary 59, а полноценный патч появится в составе Chrome Stable 58, релиз которого ожидается 25 апреля 2017 года. Разработчики Mozilla еще не успели подготовить исправление и пока рекомендуют пользователям отключить поддержку Punycode: набрать в адресной строке Firefox about:config, а затем задать для опции network.IDN_show_punycode значение true.
Фото: Depositphotos
