Новая техника основана на омографической атаке, известной с 2001 года.
Браузеры, такие как Chrome, Firefox и Opera, уязвимы перед новой вариацией известной атаки, позволяющей фишерам зарегистрировать поддельные домены, имитирующие настоящие ресурсы Apple, Google, eBay и прочих компаний, предупреждает исследователь из Китая Сюйдун Чжэн. Техника, описанная специалистом, основана на так называемой омографической атаке, известной с 2001 года.
Несколько лет назад ICANN разрешила использование не входящих в набор ASCII символов (Unicode) в доменных именах. Поскольку некоторые символы Unicode выглядят одинаково, например «а» в кириллице (U+0430) и «а» в латинице (U+0041), ICANN пришла к выводу, что использование символов Unicode может привести к путанице и усложнит отличие легитимных доменов от фишинговых сайтов. В этой связи вместо реального Unicode было решено использовать при регистрации доменов Punycode, представляющий текст Unicode в виде символов ASCII.
По умолчанию производители браузеров должны были трансформировать Punycode URL в символы Unicode внутри браузера. Однако вскоре стало ясно, что Punycode может использоваться для маскировки фишинговых сайтов. Например, если атакующий зарегистрирует домен xn-pple-43d.com, это будет аналогом apple.com, однако в начале слова была бы использована кириллическая «а». Именно поэтому производители браузеров реализовали фильтры, отображающие URL в Unicode, только в том случае, если адрес содержит символы только из одного языка (например, только китайские или только японские).
По словам Чжэна, злоумышленники могут обойти эти фильтры. Существует множество языков, использующих латинский алфавит, а следовательно, и символы Unicode. Исследователь зарегистрировал домен на одном из таких языков. Поскольку был использован набор символов только из одной группы языков в Unicode, антифишинговый фильтр не распознал присутствие символов из других языков. К примеру, зарегистрированных специалистом домен xn-80ak6aa92e.com отразился как аррӏе.com (но с символами из кириллицы). В таком случае, единственным способом распознать фишинговый сайт будет проверка лицензии страницы, где домен отображается в Punycode.
Перед подобными атаками уязвимы браузеры Chrome, Firefox, а также Opera (в том числе новая версия Opera Neon). Браузеры Edge, Internet Explorer, Safari, Vivaldi и Brave проблеме не подвержены.
Чжэн связался с Google и Mozilla в январе нынешнего года. Google уже исправила проблему в Chrome Canary 59, полноценный патч будет выпущен в составе Chrome Stable 58. Инженеры Mozilla еще не подготовили исправление, а пока рекомендуют пользователям отключить поддержку Punycode.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале