Chrome, Firefox және Opera фишингтік шабуылдар алдында осал

Chrome, Firefox және Opera браузерлері фишерлерге Apple, Google, eBay мен өзге де компаниялардың шынайы ресурстарын ұқсататын жалған домендерді тіркеуге мүмкіндік беретін танымал шабуылдың жаңа нұсқасының алдында осал болады деп ескертеді Қытай зерттеушісі Сюйдун Чжэн. Маман сипаттаған техника 2001 жылдан бастап белгілі омографиялық шабуылға негізделеді.

ICANN бірнеше жыл бұрын ASCII жинағына кірмейтін символдарды (Unicode) домендік атауларда пайдалануға рұқсат берген болатын. ICANN кейбір Unicode символдары ұқсас болуы себепті, мәселен, кириллицадағы «а» (U+0430) және латын жазуындағы «а» (U+0041), Unicode символдарын пайдалану түсінбестікке әкеліп, рұқсат етілген домендерді фишингтік сайттардан ерекшелеуді күрделендіреді деген тұжырымға келді. Осыған байланысты домендерді тіркеген кезде шынайы Unicode-нің орнына ASCII символдары түріндегі Unicode мәтіні болып табылатын Punycode-ні пайдалану туралы шешім қабылданды.

Браузерлерді шығарушылар келісім бойынша Punycode URL-ны браузердің ішінде Unicode символдарына айналдыратын болды. Алайда, кейін Unicode-ні фишингтік сайттарды жасыру үшін пайдалануға болатыны анықталды. Мәселен, шабуыл жасаушы xn-pple-43d.com доменді тіркейтін болса, сөздің алдында кириллица жазуындағы «а»-ны пайдаланылып, ол apple.com-ға ұқсас болар еді. Дәл осы үшін браузерлерді шығарушылар
URL-ны мекенжай тек бір тілдегі символдардан тұратын болса (мәселен, тек қана қытай немесе тек қана жапон тілінде) ғана Unicode-де көрсететін фильтрлерді іске асырды.

Чжэнның айтуынша, зиянкестер бұл фильтрлерді айналып өте алады. Латын әліпбиін қолданатын, сәйкесінше Unicode символдарын пайдаланатын көптеген тілдер бар. Зерттеуші доменді осындай тілдердің біреуінде тіркеген. Тілдердің бір тобына жататын Unicode символдарының жинағы пайдаланылғаны себепті фишингке қарсы фильтр басқа тілдердегі символдардың болғанын ажырата алмады. Мәселен, маман тіркеген
xn-80ak6aa92e.com домені аррӏе.com ретінде (бірақ кириллица жазуындағы символдармен) бейнеленді. Мұндай жағдайда фишингтік сайтты ажыратудың бір ғана тәсілі бұл домен Punycode-де бейнеленетін парақшаның лицензиясын тексеру.

Осындай шабуылдардың алдында Chrome, Firefox, сондай-ақ Opera (соның ішінде Opera Neon жаңа нұсқасы) браузерлері осал болып табылады. Edge, Internet Explorer, Safari, Vivaldi және Brave браузерлері мұндай жөнсіздіктерге ұшырамайды.

Чжэн ағымдағы жылдың қаңтар айында Google және Mozilla хабарласты. Chrome Canary 59-дағы жөнсіздікті Google түзетті, толық патч Chrome Stable 58 құрамында шығарылатын болады. Ал Mozilla инженерлері түзетуді әлі дайындаған жоқ, пайдаланушыларға әзірше Punycode-ні қолдауды ажыратуды ұсынады.

Ақпарат көзі: www.securitylab.ru