Punycode a phishing, na který se prý nachytají i bezpečnostní experti

Čínský bezpečnostní expert  Xudong Zheng zveřejnil informaci, jak může být zneužito způsobu, jakým Google Chrome a Mozila Firefox zacházejí s názvy domén, které jsou zakódovány pomocí algoritmu Bootstring, známého spíše pod jménem Punycodehomografním útokům.

Tuto zprávu pak převzala i další média a nasadila tomu korunu, když uvedla, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků, protože ono je tomu přesně naopak, jak se dozvíte dále.

V zásadě jde o to, že pomocí výše uvedeného algoritmu může být libovolných řetězec, např. i název domény převeden z Unicode na ASCII a naopak. Výstupem tohoto algoritmu je pak řetězec složený jen ze základních písmen, číslic a pomlček. Schválně si to vyzkoušejte sami, třeba zde.

Takže např. čínský název domény „短.co“ lze pomocí Punycode zapsat jako „xn--s7y.co“, což je pro našince jistě srozumitelnější. Punycode však nefunguje jen pro enkódování čínštiny, ale i cyrilice, a zde nastává zásadní problém.

V okamžiku, kdy tento algoritmus v adresním řádku prohlížeče má zobrazit doménu „xn--80ak6aa92e.com“ zobrazí místo ní „apple.com“, a pokud je tato doména navíc opatřena i certifikátem, nikoho nenapadne zkoumat, že uvedený název není v latince, nýbrž v cyrilici a že ony dvě „pé“ jsou vlastně „er“ a „el“ je tzv. paločka, kterou je možné zadat jako Alt+1231.

Důležité je v té cyrilici napsat celý název domény, protože v okamžiku, kdy je část názvu domény napsána v jednom jazyce a část zase v jiném, tak zafunguje ochrana a prohlížeč zobrazí punycode.

Byť je tato staronová zranitelnost jistě závažná, možnosti jejího zneužitá jsou částečně omezené množinou znaků, které lze použít. Schválně, kam myslíte, že vás zavede xn--e1awj4e7zzda.cz anebo xn--e1a6a7b.com? Dokážete vymyslet nějaké další stejně smysluplné příklady?

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: ,

  1. Miroslav Čermák

    Nová verze Google Chrome 58 odstraňuje problém s IDN doménami, takže pokud je název domény složen výhradně ze znaků cyrilice, které by mohly být zaměněny se znaky latinky, zobrazí název domény jako punycode.


K článku “Punycode a phishing, na který se prý nachytají i bezpečnostní experti” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: