Chrome, Firefox и Opera уязвимы перед фишинговыми атаками

[душман]

Браузеры, такие как Chrome, Firefox и Opera, уязвимы перед новой вариацией известной атаки, позволяющей фишерам зарегистрировать поддельные домены, имитирующие настоящие ресурсы Apple, Google, eBay и прочих компаний, предупреждает исследователь из Китая Сюйдун Чжэн. Техника, описанная специалистом, основана на так называемой омографической атаке, известной с 2001 года.

Несколько лет назад ICANN разрешила использование не входящих в набор ASCII символов (Unicode) в доменных именах. Поскольку некоторые символы Unicode выглядят одинаково, например «а» в кириллице (U+0430) и «а» в латинице (U+0041), ICANN пришла к выводу, что использование символов Unicode может привести к путанице и усложнит отличие легитимных доменов от фишинговых сайтов.

В этой связи вместо реального Unicode было решено использовать при регистрации доменов Punycode, представляющий текст Unicode в виде символов ASCII. По умолчанию производители браузеров должны были трансформировать Punycode URL в символы Unicode внутри браузера. Однако вскоре стало ясно, что Punycode может использоваться для маскировки фишинговых сайтов.

Например, если атакующий зарегистрирует домен xn-pple-43d.com, это будет аналогом apple.com, однако в начале слова была бы использована кириллическая «а». Именно поэтому производители браузеров реализовали фильтры, отображающие URL в Unicode, только в том случае, если адрес содержит символы только из одного языка (например, только китайские или только японские).

По словам Чжэна, злоумышленники могут обойти эти фильтры. Существует множество языков, использующих латинский алфавит, а следовательно, и символы Unicode. Исследователь зарегистрировал домен на одном из таких языков. Поскольку был использован набор символов только из одной группы языков в Unicode, антифишинговый фильтр не распознал присутствие символов из других языков.

К примеру, зарегистрированных специалистом домен xn-80ak6aa92e.com отразился как арре.com (но с символами из кириллицы). В таком случае, единственным способом распознать фишинговый сайт будет проверка лицензии страницы, где домен отображается в Punycode. Перед подобными атаками уязвимы браузеры Chrome, Firefox, а также Opera (в том числе новая версия Opera Neon). Браузеры Edge, Internet Explorer, Safari, Vivaldi и Brave проблеме не подвержены.

Чжэн связался с Google и Mozilla в январе нынешнего года. Google уже исправила проблему в Chrome Canary 59, полноценный патч будет выпущен в составе Chrome Stable 58. Инженеры Mozilla еще не подготовили исправление, а пока рекомендуют пользователям отключить поддержку Punycode.