Punycode a phishing, na který se prý nachytají i bezpečnostní experti

Čínský bezpečnostní expert  Xudong Zheng zveřejnil informaci, jak může být zneužito způsobu, jakým Google Chrome a Mozila Firefox zacházejí s názvy domén, které jsou zakódovány pomocí algoritmu Bootstring, známého spíše pod jménem Punycodehomografním útokům.

Tuto zprávu pak převzala i další média a nasadila tomu korunu, když uvedla, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků, protože ono je tomu přesně naopak, jak se dozvíte dále.

V zásadě jde o to, že pomocí výše uvedeného algoritmu může být libovolných řetězec, např. i název domény převeden z Unicode na ASCII a naopak. Výstupem tohoto algoritmu je pak řetězec složený jen ze základních písmen, číslic a pomlček. Schválně si to vyzkoušejte sami, třeba zde.

Takže např. čínský název domény „短.co“ lze pomocí Punycode zapsat jako „xn--s7y.co“, což je pro našince jistě srozumitelnější. Punycode však nefunguje jen pro enkódování čínštiny, ale i cyrilice, a zde nastává zásadní problém.

V okamžiku, kdy tento algoritmus v adresním řádku prohlížeče má zobrazit doménu „xn--80ak6aa92e.com“ zobrazí místo ní „apple.com“, a pokud je tato doména navíc opatřena i certifikátem, nikoho nenapadne zkoumat, že uvedený název není v latince, nýbrž v cyrilici a že ony dvě „pé“ jsou vlastně „er“ a „el“ je tzv. paločka, kterou je možné zadat jako Alt+1231.

Důležité je v té cyrilici napsat celý název domény, protože v okamžiku, kdy je část názvu domény napsána v jednom jazyce a část zase v jiném, tak zafunguje ochrana a prohlížeč zobrazí punycode.

Byť je tato staronová zranitelnost jistě závažná, možnosti jejího zneužitá jsou částečně omezené množinou znaků, které lze použít. Schválně, kam myslíte, že vás zavede xn--e1awj4e7zzda.cz anebo xn--e1a6a7b.com? Dokážete vymyslet nějaké další stejně smysluplné příklady?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. Miroslav Čermák

    Nová verze Google Chrome 58 odstraňuje problém s IDN doménami, takže pokud je název domény složen výhradně ze znaků cyrilice, které by mohly být zaměněny se znaky latinky, zobrazí název domény jako punycode.


K článku “Punycode a phishing, na který se prý nachytají i bezpečnostní experti” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: