Chrome、Firefox 和Opera用户注意了:这不是你们想要访问的 apple.com!
统一码方面的花招连高明的用户都很难察觉招摇撞骗的网站。 图1:这是Chrome 57浏览器显示https://www.xn--80ak6aa92e.com/的样子。请留意地址栏中的https://www.apple.com。 如果你在使用Chrome、Firefox或Opera来浏览网站,应该要意识到一个安全漏洞:它甚至会诱骗高明的用户,相信招摇撞骗的恶意网站,这类网站希望你下载软件,或者输入密码或信用卡数据。 这个安全漏洞利用了这些浏览器在地址栏显示某些字符的机制。比如说,在谷歌在过去的24小时发布版本58之前,Chrome将https://www.xn--80ak6aa92e.com/显示为https://www.apple.com。最新版本的Firefox和Opera在默认情况下继续显示同样的误导性地址。正如上面的屏幕截图显示,相应的网站与苹果其实没有半毛关系。要是恶意攻击者注册了底层的xn--80ak6aa92e.com域名,他也许可以用它来推送留有后门的软件,或者诱骗访客泄露密码或其他敏感信息。 Web应用开发人员郑旭东(Xudong Zheng)开发了这个apple.com山寨网站,他详细解释了这个攻击的工作机理。 Punycode让人们可以注册使用外来字符的域名。其工作原理是,将单个的域名标签转换成完全使用ASCII字符的另一种格式。比如说,域名“xn s7y.co”就相当于“短.co”。 从安全的角度来说,统一码(Unicode)域名可能会出现问题,因为许多统一码字符与常见的ASCII字符很难区别。可以注册诸如“xn--pple-43d.com”之类的域名,而这个域名就相当于“аpple.com”。乍一眼看上去可能不是很明显,但是“аpple.com”使用了西里尔字符“а”(U+0430),而不是ASCII字符“a”(U+0061)。这就是所谓的同形异义词攻击(homograph attack)。 幸运的是,现代浏览器都落实了限制IDN同形异义词攻击的机制。Google Chrome中的网页IDN高亮显示了IDN用原生的Unicode格式来显示的条件。通常来说,如果域名标签含有来自多种不同语言的字符,统一码格式就被隐藏起来。上面所述的“аpple.com”域名会以“xn--pple-43d.com”这种Punycode格式来显示,尽量避免与真实的“apple.com”相混淆。 遗憾的是,如果每个字符都换成来自某一种外语的类似字符,那么Chrome、Firefox和Opera中的同形异义词攻击防护机制就会失效。注册为“xn--80ak6aa92e.com”的域名“арр?е.com”只要使用西里尔字符,就可以绕过过滤机制。你可以使用Chrome、Firefox或Opera,在概念证明环境中自行试验一番。 从表面上来看,由于Chrome和Firefox使用的字体,直播,j2直播,这两个域名无从区别。因而,要是不仔细查看网站的URL或SSL证书,不太可能识别出这个网站是欺诈性网站。这个Go程序(https://goo.gl/kFjYJV)很好地演示了这两套字符之间的区别。幸好,Safari以及几款不太主流的浏览器并不受到这个漏洞的影响。 这个问题已在Mozilla开发者论坛上引起了热烈的讨论。眼下,高级开发人员们表示,浏览器遇到基于punycode的域名时,他们不会改变默认行为。 这种变化“会让所有非拉丁字符域名显示成乱码”,Mozilla开发人员杰维斯·马卡姆(Gervase Markham)写道。“这对于不使用拉丁字符的人们、国家和语言来说,其实不是件好事。我们想要每个脚本和每种语言在互联网上受到一视同仁的待遇。” 使用Chrome的人应该尽快安装版本58。Firefox用户可以通过在地址栏中输入“about:config”,并同意显示的警告内容来保护自己。之后,在搜索框中输入“punycode”,即可弹出一行显示为network.IDN_show_punycode的信息。接下来,双击“false”这个词,就可以将它改成“true”。从此以后,Firefox就会显示“dumb ascii”字符,而不显示欺骗性的编码字符。除了苹果的Safari外,微软的Edge和Internet Explorer这两款浏览器同样没有受到影响,至少只要它们不支持西里尔文。 这个安全漏洞已在1月份汇报给了Chrome的开发人员。安全公司迈克菲在这里(https://securingtomorrow.mcafee.com/business/neutralize-threats/chrome-and-firefox-adding-protection-against-this-nasty-phishing-trick/)详细解释了这个问题。 (责任编辑:本港台直播) |