The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.04.2017 22:09  Новый метод фишинга с использованием unicode-символов в домене

Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave.

Атака основана на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Классическая подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета смешивания символов из разных алфавитов. Например, подставной домен аpple.com ("xn--pple-43d.com") не получится создать путём замены латинской "a" (U+0061 на кириллическую "а" (U+0430) , так как смешивание в домене букв из разных алфавитов не допускается.

Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, который не имеет отношения к компании Apple и отличается от домена apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает его неотличимым в адресной строке.

При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя наборы Unicode-символов для языков, включающих символы, похожие на латиницу. Так как все символы в таком домене относятся к набору для одного языка, защита от смешивания не срабатывает. Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию использования защищённого соединения к аррӏе.com.

Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт в состав выпуска Chrome 58. Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true)

  1. Главная ссылка к новости (https://www.xudongz.com/blog/2...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: phishing
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:41, 17/04/2017 [ответить] [смотреть все]
  • +7 +/
    >Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave

    Внезапно хорошие новости с проприетарного фронта.

     
     
  • 2.8, Аноним, 23:00, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Ты смотри, а то сейчас на новостных помойках появятся заголовки Известный сайт ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 23:52, 17/04/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Кому какое дело до того, что происходит на узкоспециальных новостных помойках, включая..
     
  • 3.23, Аноним, 00:01, 18/04/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    пф, чуть печенькой не подавился от смеха ... весь текст скрыт [показать]
     
     
  • 4.48, YetAnotherOnanym, 11:33, 18/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > печенькой

    Ты уже перешёл на их сторону?

     
  • 3.58, F, 11:01, 19/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Зачем обзываться Ну, можно же написать и наоборот - Один из маргинальных посет... весь текст скрыт [показать]
     
  • 2.10, Аноним, 23:13, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Просто у них вообще для IDN набор символов искусственно ограничен, захочешь доме... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, imprtat, 00:51, 18/04/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    >> набор символов искусственно ограничен

    или же просто не работает :)

     
     
  • 4.47, Аноним, 11:21, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    > не работает

    В контексте сабжа это не так уж и плохо. :)

     
  • 3.34, элвис жив, 04:48, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    У узбеков латиница же.
     
  • 3.59, F, 11:02, 19/04/2017 [^] [ответить] [смотреть все]  
  • +/
    А надо вроссию uz ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 22:42, 17/04/2017 [ответить] [смотреть все]  
  • +2 +/
    Шикос, всегда подозревал что национальные домены это потенциальная лазейка для ф... весь текст скрыт [показать]
     
     
  • 2.60, F, 11:05, 19/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вообще, любая схема именования - лазейка для фишеров Скажем, хочет производител... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, trolleybus, 22:42, 17/04/2017 [ответить] [смотреть все]  
  • +14 +/
    А вот нечего было юникод в именах разрешать. Что, ASCII не хватает уже?
     
     
  • 2.12, A.Stahl, 23:18, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    >Что, ASCII не хватает уже?

    Только КОИ7-Н1, только хардкор и маразм!

     
  • 2.13, Аноним, 23:18, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    И 640 Кб тоже всем хватает, ага.
     
     
  • 3.16, Принц, 23:41, 17/04/2017 [^] [ответить] [смотреть все]  
  • +7 +/
    Ты лучше представь, как бы заходил на алиэкспресс, если бы у него был домен на китайском.
     
     
  • 4.22, Старый одмин, 00:00, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    По IP ходили бы, как по старинке
     
     
  • 5.26, anonim1, 00:37, 18/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Какой же ты админ если не знаешь что такое HTTP по секрету - на одном IP может ... весь текст скрыт [показать]
     
     
  • 6.45, Pahanivo, 11:12, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    он видимо настолько стар что еще arpanet видел ... весь текст скрыт [показать]
     
     
  • 7.61, F, 11:08, 19/04/2017 [^] [ответить] [смотреть все]  
  • +/
    А в arpanet разве http был Она, вообще, закрыта-то в 1990 году, так что многие ... весь текст скрыт [показать]
     
  • 4.38, vanoc, 08:54, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    В Китае большой популярностью пользуются цифровые домены Наверняка у али есть ц... весь текст скрыт [показать]
     
  • 2.24, Аноним, 00:15, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так и знал, что http://президент.рф создан для фишинга...
     
  • 2.35, iPony, 07:15, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не Не хватает https 128571 127829 ws 127852 127976 127916 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Pahanivo, 11:12, 18/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    етить тваю мать, котики ... весь текст скрыт [показать]
     
  • 2.54, Аноним, 17:43, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Домены же за деньги продают Теперь владельцы крупных брендов покупают не только... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 22:42, 17/04/2017 [ответить] [смотреть все]  
  • –2 +/
    Посмотрел, по умолчанию уже стоит false Внимание Вопрос Кто лазил в мой бра... весь текст скрыт [показать]
     
     
  • 2.6, trolleybus, 22:45, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Видимо, true значит отключить т е показывать Punycode, а не интернационально... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Sw00p aka Jerom, 23:54, 17/04/2017 [^] [ответить] [смотреть все]  
  • +/
    тру значить показать именно в пуникоде, а раз пуникод значит не apple com ps ред... весь текст скрыт [показать]
     
  • 2.32, Laverna, 02:14, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Чукча не читатель Нужно сделать true, чтобы защититься А у вас, конечно, false... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Sw00p aka Jerom, 15:07, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    у всех он по дефолту фолс ибо смысл?
     
  • 1.7, Аноним, 22:56, 17/04/2017 [ответить] [смотреть все]  
  • +14 +/
    Маразм: сначала вводим никому ненужные юникодные домены, затем героически боремся с последствиями. Да кому в здравом уме нужен юникодный домен, исключая случай "просто прикольно" ? Пыль в глаза. И лишние затраты ресурсов на пускание пыли.
     
     
  • 2.9, Аноним, 23:12, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Объективно - никому.
    Субъективно - арабам с их левосторонней письменностью.
     
     
  • 3.49, Аноним, 13:15, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Представляю, каково этим арабам читать сначала http слева направо, потом куск... весь текст скрыт [показать]
     
     
  • 4.55, biomassa, 22:15, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Элементарно Ватсон:
    moc.elgoog\\:sptth
     
  • 4.62, Anonimus, 12:56, 19/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Протокол писать не обязательно же Но и без этого у них проблем хватает, наприме... весь текст скрыт [показать]
     
  • 4.64, JL2001, 16:41, 19/04/2017 [^] [ответить] [смотреть все]  
  • +/
    не так уж и плохо если вот так http ru org bash... весь текст скрыт [показать]
     
  • 2.17, Мимо крокодил, 23:45, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Объективно - по телефону удобнее диктовать продам дефис гараж точка рф чем s ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 01:08, 18/04/2017 [^] [ответить] [смотреть все]  
  • +19 +/
    > Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем
    > "s как доллар, е как е русская..."

    и что толку? всё равно половина напишет "прадам-гараш.рв"

     
  • 3.39, Anoim, 08:58, 18/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А давно SMS и месенджеры всякие отменили?
     
  • 1.11, Аноним, 23:15, 17/04/2017 [ответить] [смотреть все]  
  • +3 +/
    Решение проблемы кстати можно очень простое придумать - выводить все IDN-домены ... весь текст скрыт [показать]
     
     
  • 2.28, Аноним, 00:46, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Поможет только отличить IDN от похожего не-IDN имени, но не поможет отличить два... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Аноним, 09:17, 18/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Тогда делаем цвет на основе хэш-функции имени.
     
  • 1.15, Принц, 23:40, 17/04/2017 [ответить] [смотреть все]  
  • +/
    А в чём уязвимость? Символы как символы, ну и что что они путаются. Что, я уже не могу зарегистрировать свободный домен, потому что кто-то может его перепутать, и меня браузеры должны метить как-то?
     
     
  • 2.18, Аноним, 23:50, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ты, дядя, похоже вовсе не знаешь, что такое фишинг.
     
     
  • 3.21, Аноним, 23:56, 17/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Я знаю Fishing - рыбалка ... весь текст скрыт [показать]
     
  • 3.40, Принц, 08:59, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Как браузер будет отличать фишинг-домен и просто домен, похожий на другой Вот я... весь текст скрыт [показать]
     
     
  • 4.63, Аноним, 13:03, 19/04/2017 [^] [ответить] [смотреть все]  
  • +/
    ручками набирать надо, а ни гуглояндексом :)
     
  • 1.25, Аноним, 00:16, 18/04/2017 [ответить] [смотреть все]  
  • +2 +/
    Понимаю немножко не по теме Но не подскажите где еще можно скачать тор браузер ... весь текст скрыт [показать]
     
     
  • 2.31, Аноним, 01:47, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Отсюда можете скачать?
    https://mega.nz/#F!Evp3zBjJ!ALIchKp9Jd8l1B4316MMwg
     
     
  • 3.37, Аноним, 08:44, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Посоны, не качайте, там вирус! Пишу с тамагочи
     
     
  • 4.56, Аноним, 00:56, 19/04/2017 [^] [ответить] [смотреть все]  
  • +/
    На самом деле нет, но мысль здравая не стоит доверять файлам анонима с файлообм... весь текст скрыт [показать]
     
  • 2.50, Аноним, 13:18, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вам не сюда Обратитесь на форум Friendship Is Magic ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, iPony, 15:21, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    > Friendship Is Magic

    Их тоже блокируют https://derpiboo.ru

     
  • 2.57, Аноним, 01:01, 19/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Установите можно в виртуальную машину любой дистрибутив GNU Linux, в репозитор... весь текст скрыт [показать] [показать ветку]
     
  • 1.27, Аноним, 00:42, 18/04/2017 [ответить] [смотреть все]  
  • +/
    Теперь Хром не показывает доменные имена, состоящие только из символов кириллицы... весь текст скрыт [показать]
     
  • 1.33, Laverna, 02:16, 18/04/2017 [ответить] [смотреть все]  
  • +1 +/
    Дык это как бы не новость.
    Год назад я репортил вот это:
    https://bugzilla.mozilla.org/show_bug.cgi?id=1256009

    Актуально до сих пор.

     
     
  • 2.36, Аноним, 07:27, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Это вариант со смешиванием, который в chrome не прошел бы В новости описан спос... весь текст скрыт [показать] [показать ветку]
     
  • 1.41, Аноним, 09:04, 18/04/2017 [ответить] [смотреть все]  
  • –1 +/
    а что, разница между www арр 1231 е com и www apple com совершенно не заметна ... весь текст скрыт [показать]
     
     
  • 2.42, Аноним, 09:14, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если не смотреть коды символов, то не заметна Естественно, все от шрифта ещё за... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 14:53, 18/04/2017 [^] [ответить] [смотреть все]  
  • +/
    На мобильной версии опеннета это хорошо видно - в свернутых комментариях вмест... весь текст скрыт [показать]
     
  • 1.44, CHERTS, 10:24, 18/04/2017 [ответить] [смотреть все]  
  • +/
    php-функция idn_to_utf8 при попытке использовать xn--80ak6aa92e.com не может перевести в аррӏе.com
    А php-функция idn_to_ascii для аррӏе.com ничего не декодирует, возвращает пустоту.
    Весело в общем.
     
     
  • 2.65, Аноним, 09:38, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Новости из мира php? Держите нас в курсе...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList