使用国际化域的网络钓鱼攻击很难阻止
本周早些时候发布的最新版本的Google Chrome,限制了浏览器中使用非拉丁字符的域名的域名。这种变化是响应最近披露的技术,可以允许攻击者创建高度可信的网络钓鱼网站。
注册由字符组成的域名的能力,如阿拉伯语,中文,西里尔基,希伯来语和其他非拉丁字母和其他非拉丁字母历史数量历史。自2009年以来,互联网公司用于分配的名称和数字(ICANN)还批准了大量的国际化顶级域(TLD) - 域扩展 - 用此类字符编写。
当在域名系统(DNS)中使用时 - Internet的地址簿 - 使用名为punycode的系统将国际化域名转换为ASCII兼容的表单。但是,当向用户内部浏览器和支持Unicode的其他应用程序显示时,它们以其预期的非拉丁字符显示,使得数十亿个Internet用户可以以其母语和脚本读取域名。
虽然这很好的全球互联网可用性,但使用国际化域名确实提高了安全问题,因为某些字母表包含看起来非常类似于拉丁字母的字符,这可以滥用欺骗URL。例如,即使它们“在具有不同Unicode值的不同字符中,即使使用不同的Unicode值,则”A“中的字母”A“在视觉上是相同的U + 0430和U + 0061。
这种相似性将允许人们使用来自西里尔语字母表的字母“a”和拉丁字母表中的其他人来创建域名Apple.com。如果浏览器在地址栏中视觉上显示Apple.com,则可以使用此类域名来设置网络钓鱼网站,这很难区分真实的网站。
为防止这些所谓的同性攻击,浏览器执行一系列复杂的检查,以确定它是否最好使用其预期脚本显示域名,或者在Punycode中显示其等同物。他们强制执行的一个规则是,如果拉丁语,西里尔或希腊字符混合在一起,则将始终使用punycode。
上面提到的Apple.com域的punycode版本,其中字母“a”来自西里尔,将是:xn--pple-43d.com。这是用户在浏览器地址栏中看到的内容。
然而,进一步拍摄的东西,一个名为Xudong Zheng的Web应用程序开发人员意识到,对于某些域名或品牌来说,可以将所有字母替换在不同的脚本中具有视觉上类似的字母。例如,对于Apple中的所有字母,在Cyrillic中存在看法。在这种情况下,上面的浏览器过滤器将不再适用,因为名称中没有混合脚本。
为了证明这一点,Xudong最近注册了xn--80ak6aa92e.com域,并设置了一个网站,其地址在Windows和Linux上的Chrome,Firefox或Opera内打开时几乎与Apple.com相同。在MacOS上,“L”字符看起来有点不同,但仍然足够接近。
Xudong将此问题报告给浏览器供应商,谷歌在Chrome 58周三修复了它,通过添加另一个支票来到其国际化域名(IDN)政策。浏览器现在将在Punycode中显示域名,如果所有字符都是拉丁语LookAlike Cyrillic字母,并且如果顶级域名不是国际化的一个字符。这意味着该支票仅适用于传统的拉丁文普通和国家/地区代码,如.com,.NET,.org,.uk,.de等。
例如,XN - 80AK6AA92E.xn - P1ai仍将在浏览器地址栏上看,如苹果,然后是俄罗斯的国际化国家代码TLD,这是以西里尔写的。
检查与TLD的域名的脚本与域名的脚本不匹配,这意味着XN - 80AK6AA92E.xn - FIQS8S也有效,但与中国的国际化国家代码TLD; XN - 80AK6AA92E.xn - QXAM用于希腊,XN - 80AK6AA92E.xn - 3e0b707e,韩国等。这些域可能不适合在使用基于拉丁语字母表的国家/地区的用户发布网络钓鱼攻击,但可能与使用不同脚本的用户看起来很合法。
Google Chrome IDN显示策略已经由10个不同的条件组成,突出显示此类域名的所有可能滥用的困难。
Mozilla仍在考虑它是否应该采取任何行动来阻止Xudong的技术,并且没有达到最终结论。关于其Bug Tracker的讨论表明,关于谁应该负责防止此类攻击有强有力的反对观点。
有些人相信全脚本的同性攻击,就像用西里尔字符写的Apple.com一样,不是浏览器应该修复的东西。他们觉得,责任应该与品牌所有者堕落,他们应该注册那些域名保护他们的品牌和域名注册商,他们应该有黑名单,以防止用户注册潜在的滥用域。
Mozilla的政策工程师Gervase Markham发布了一个非官方常见问题常见问题文件,解释了Firefox如何以其正确的形式显示IDN,以及更具限制性政策的影响是什么。
不关心在其预期脚本中看到IDNS的Firefox用户可以手动强制浏览器始终在Punycode中显示它们。这可以通过键入约:配置在浏览器地址栏中,找到network.idn_show_punycode设置并将其值从false更改为true。
使用IDN的同性攻击可能在这里留下来,因为现有策略总会有一些未涵盖的边缘案例。辩论是风险是否值得牺牲大量用户的可用性,因为该手机已经有很多成功,并且不依赖于完全欺骗的URL。