主页 > F与生活 >apple不是apple?「同形异义字」攻击令你连上假网站 >

apple不是apple?「同形异义字」攻击令你连上假网站

发布时间:2020-08-12   来源:F与生活    

аррIе.com可以不是真「apple」?中国资安研究人员Zheng Xudong近日公开调查,指他在数月前发现三个着名浏览器Chrome、Firefox及Opera的防御机制设计含有漏洞,令罪犯可以製作出「同形异义字」的假Apple钓鱼网站,加上「安全」HTTPS认证,看起来更和真的「apple.com」一样!

此「a」不同彼「a」 网址都有分两文三语!

现实世界中有不同语系,网络世界其实也有,例如中国的.cn网站、台湾的.tw网站就有一部分是直接选用中文作网址。自2007年起,网络系统便接受英文以外的网址,中文、阿拉伯和斯拉夫语言等字符也可以用作域名,称为国际化域名标籤(IDNA)。

这些语言本来都是以万国码Unicode编码、显示,但是域名系统受技术所限只能使用ASCII编码,于是负责管理域名及IP地址的组织ICANN就通过,其他语言需要根据域名代码Punycode字符集,将Unicode「转换」为ASCII制式。例如,德文「münchen」(德国慕尼黑)会被编码为「xn—mnchen-3ya」,中文「香港」就会被编码为「xn—j6w193g」。

「同形异义字」攻击

不过,IDNA有一个致命的问题,那就是这种可以由不同语系字符组成的域名,令罪犯有机会用「同形异义字」(Homograph)的方式製作以假乱真的网址。举例而言,域名中的「apple」本应为拉丁字母的「a」,但罪犯以西里尔(Cyrillic)字母(即斯拉夫语言所用的字符)的「а」取替,开设新网站。用家以为西里尔的「'а'pple」就是拉丁「'a'pple」 ,被误导向罪犯提供真资料。

早在2005年,ICANN就已经提出「同形异义字攻击」的潜在危机,不过当时未有处理。及后在2011年更出现实际例子,域名为Cyrillic字母的假网站「raural[dot]com」由Unicode显示,网址看起来竟与网上支付网站「PayPal.com」竟然近乎一模一样!

Chrome、Firefox及Opera的漏洞

现代浏览器其实已找出解决方法︰

然而,中国资安研究人员Zheng Xudong数月前发现,三个着名浏览器Chrome、Firefox及Opera的防御机制设计含有漏洞。当黑客只使用一种外语取代域名的每一个字符,以上三个浏览器皆未能侦测出可疑的域名,更未能以Punycode显示它的「原型」!Zheng Xudong製作了一个假Apple网站展示以上漏洞,你也可以亲眼看看:аррӏе.com(放心,没有毒!)

apple不是apple?「同形异义字」攻击令你连上假网站 图片由作者提供
Apple看起来是Apple,但其实是外语!(图为浏览器Opera的画面)

另外,我亦在本地资讯安全研究机构VXRL的安全研究人员Zetta的协助下,製作了一个假Microsoft网站,这个网站连介面也「抄」到十足︰Microsoft Demo (同样安全)︰

apple不是apple?「同形异义字」攻击令你连上假网站 图片由作者提供
留意SSL认证的详细资料,网址为Punycode,可见这并不是真正的Microsoft网站。(图为浏览器Opera的画面)

更麻烦的是,这两个假网站已成功得到SSL认证,为「安全」的HTTPS网站!虽然SSL只能认证网站的数据传输过程保密、没有第三方监视,不代表网站安全无毒,但Chrome、Firefox及Opera皆会直接显示为「Secure」。假Apple网既有SSL认证,读起来更和真Apple一模一样,你又如何分辨?SSL认证制度无疑令「同形异义字」攻击更难抵挡。

Firefox和Chrome已着手处理问题,前者未有正式修补漏洞的方案,但用户可以设定浏览器强制显示Punycode网址;而后者则已4月19日推出包括修补档的更新。


上一篇: 下一篇: