Chrome、Firefox 和Opera用户注意了：这不是你们想要访问的 apple.com！

　　统一码方面的花招连高明的用户都很难察觉招摇撞骗的网站。

　　图1：这是Chrome 57浏览器显示https://www.xn--80ak6aa92e.com/的样子。请留意地址栏中的https://www.apple.com。

　　如果你在使用Chrome、Firefox或Opera来浏览网站，应该要意识到一个安全漏洞：它甚至会诱骗高明的用户，相信招摇撞骗的恶意网站，这类网站希望你下载软件，或者输入密码或信用卡数据。

　　这个安全漏洞利用了这些浏览器在地址栏显示某些字符的机制。比如说，在谷歌在过去的24小时发布版本58之前，Chrome将https://www.xn--80ak6aa92e.com/显示为https://www.apple.com。最新版本的Firefox和Opera在默认情况下继续显示同样的误导性地址。正如上面的屏幕截图显示，相应的网站与苹果其实没有半毛关系。要是恶意攻击者注册了底层的xn--80ak6aa92e.com域名，他也许可以用它来推送留有后门的软件，或者诱骗访客泄露密码或其他敏感信息。

　　Web应用开发人员郑旭东（Xudong Zheng）开发了这个apple.com山寨网站，他详细解释了这个攻击的工作机理。

　　Punycode让人们可以注册使用外来字符的域名。其工作原理是，将单个的域名标签转换成完全使用ASCII字符的另一种格式。比如说，域名“xn s7y.co”就相当于“短.co”。

　　从安全的角度来说，统一码（Unicode）域名可能会出现问题，因为许多统一码字符与常见的ASCII字符很难区别。可以注册诸如“xn--pple-43d.com”之类的域名，而这个域名就相当于“аpple.com”。乍一眼看上去可能不是很明显，但是“аpple.com”使用了西里尔字符“а”（U+0430），而不是ASCII字符“a”（U+0061）。这就是所谓的同形异义词攻击（homograph attack）。

　　幸运的是，现代浏览器都落实了限制IDN同形异义词攻击的机制。Google Chrome中的网页IDN高亮显示了IDN用原生的Unicode格式来显示的条件。通常来说，如果域名标签含有来自多种不同语言的字符，统一码格式就被隐藏起来。上面所述的“аpple.com”域名会以“xn--pple-43d.com”这种Punycode格式来显示，尽量避免与真实的“apple.com”相混淆。

　　遗憾的是，如果每个字符都换成来自某一种外语的类似字符，那么Chrome、Firefox和Opera中的同形异义词攻击防护机制就会失效。注册为“xn--80ak6aa92e.com”的域名“арр?е.com”只要使用西里尔字符，就可以绕过过滤机制。你可以使用Chrome、Firefox或Opera，在概念证明环境中自行试验一番。

　　从表面上来看，由于Chrome和Firefox使用的字体，直播，j2直播，这两个域名无从区别。因而，要是不仔细查看网站的URL或SSL证书，不太可能识别出这个网站是欺诈性网站。这个Go程序（https://goo.gl/kFjYJV）很好地演示了这两套字符之间的区别。幸好，Safari以及几款不太主流的浏览器并不受到这个漏洞的影响。

　　这个问题已在Mozilla开发者论坛上引起了热烈的讨论。眼下，高级开发人员们表示，浏览器遇到基于punycode的域名时，他们不会改变默认行为。

　　这种变化“会让所有非拉丁字符域名显示成乱码”，Mozilla开发人员杰维斯·马卡姆（Gervase Markham）写道。“这对于不使用拉丁字符的人们、国家和语言来说，其实不是件好事。我们想要每个脚本和每种语言在互联网上受到一视同仁的待遇。”

　　使用Chrome的人应该尽快安装版本58。Firefox用户可以通过在地址栏中输入“about:config”，并同意显示的警告内容来保护自己。之后，在搜索框中输入“punycode”，即可弹出一行显示为network.IDN_show_punycode的信息。接下来，双击“false”这个词，就可以将它改成“true”。从此以后，Firefox就会显示“dumb ascii”字符，而不显示欺骗性的编码字符。除了苹果的Safari外，微软的Edge和Internet Explorer这两款浏览器同样没有受到影响，至少只要它们不支持西里尔文。

　　这个安全漏洞已在1月份汇报给了Chrome的开发人员。安全公司迈克菲在这里（https://securingtomorrow.mcafee.com/business/neutralize-threats/chrome-and-firefox-adding-protection-against-this-nasty-phishing-trick/）详细解释了这个问题。