Chyba v prohlížečích umožňuje sofistikovaný phishing. Falešná adresa vypadá reálně

3
HTTPS
Ilustrační foto (zdroj: Sean MacEntee / Flickr)

Čínský bezpečnostní expert Xudong Zheng upozornil na jednu nepříjemnou vlastnost některých prohlížečů. Mohou zobrazit falešnou adresu, která je na první pohled k nerozeznání od pravé. Útok funguje na doménách s podporou IDN (což česká .cz není). U IDN se totiž místo ASCII tabulky používá širší Unicode, kde jsou vizuálně shodné znaky.

Unicode obsahuje „а“ (U+0430) pocházející z azbuky a běžné „a“ (U+0041) z latinky používané v ASCII. Pokud by se v doméně vyměnilo jen jedno písmeno z cizí abecedy, prohlížeče adresu zapíšou v punycodu, takže půjde jasně poznat, že něco není v pořádku. Pokud ale půjde v rámci jedné abecedy poskládat celý název falešné domény, některé prohlížeče zobrazí falešnou adresu v čitelné podobě.

Zheng jako příklad dává apple.com a falešnou xn--80ak6aa92e.com, která se však v Chromu, Firefoxu, Opeře nebo prohlížeči Seznamu objeví jako apple.com. Doména navíc svítí zeleně, protože je zabezpečená. Uživatel by poznal, že je falešná, například z certifikátu. Apple ji má podepsanou svým jménem, falešná adresa využívá bezplatný Let’s Encrypt. Běžný Franta uživatel však rozdíl nepozná a na phishing by se mohl snadno napálit.

Dobrou zprávou je, že v Chromu by chyba měla být opravena ve verzi 58 (vyjde příští týden). U Firefoxu se na opravě zatím nepracuje, ale je možné „funkci“ vypnout ručně. Do adresního řádku napište about:config, najděte řádek network.IDN_show_punycode a změňte hodnotu na true. Edge, IE nebo Vivaldi opravu ani nepotřebují.

3 KOMENTÁŘE

  1. „Uživatel by poznal, že je falešná, například z certifikátu.“ Uživatel ovšem musí vědět, že google ve své nekonečné retardaci schoval detaily o certifikátu pod developer tools, na kartě security, takže místo kliku na zámeček, musím F12, kliknout na security a tam teprve na certifikát. To pro bfu není zrovna příjemná cesta a mně osobně to přijde taky dost debilní, proč tam ten zámeček tedy je když dneska je certifikát zadarmo. Jsou tam akorát sušenky, které lidem řeknou ještě méně, než prolistovat info z certifikátu. Hlavně kdejaká banka radila koukat na certifikát, že je opravdu od nich. Teď lidi kliknou na zámeček a ono ho….