apple不是apple?「同形異義字」攻擊令你連上假網站

apple不是apple?「同形異義字」攻擊令你連上假網站
Image Credit: Depositphotos
我們想讓你知道的是

IDNA有一個致命的問題,那就是這種可以由不同語系字符組成的域名,令罪犯有機會可以用「同形異字」的方式製作以假亂真的網址。

唸給你聽
powered by Cyberon

аррIе.com可以不是真「apple」?中國資安研究人員Zheng Xudong近日公開調查,指他在數月前發現三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞,令罪犯可以製作出「同形異義字」的假Apple釣魚網站,加上「安全」HTTPS認證,看起來更和真的「apple.com」一樣!

此「a」不同彼「a」 網址也有分語言

現實世界中有不同語系,網絡世界其實也有,例如中國的.cn網站、台灣的.tw網站就有一部分是直接選用中文作網址。自2007年起,網絡系統便接受英文以外的網址,中文、阿拉伯和斯拉夫語言等字符也可以用作域名,稱為國際化域名標籤(IDNA)。

這些語言本來都是以萬國碼Unicode編碼、顯示,但是域名系統受技術所限只能使用ASCII編碼,於是負責管理域名及IP地址的組織ICANN就通過,其他語言需要根據域名代碼Punycode字符集,將Unicode「轉換」為ASCII制式。例如,德文「münchen」(德國慕尼黑)會被編碼為「xn—mnchen-3ya」,中文「香港」就會被編碼為「xn—j6w193g」。

「同形異義字」攻擊

不過,IDNA有一個致命的問題,那就是這種可以由不同語系字符組成的域名,令罪犯有機會用「同形異義字」(Homograph)的方式製作以假亂真的網址。舉例而言,域名中的「apple」本應為拉丁字母的「a」,但罪犯以西里爾(Cyrillic)字母(即斯拉夫語言所用的字符)的「а」取替,開設新網站。用家以為西里爾的「'а'pple」就是拉丁「'a'pple」 ,被誤導向罪犯提供真資料。

早在2005年,ICANN就已經提出「同形異義字攻擊」的潛在危機,不過當時未有處理。及後在2011年更出現實際例子,域名為Cyrillic字母的假網站「raural[dot]com」由Unicode顯示,網址看起來竟與網上支付網站「PayPal.com」竟然近乎一模一樣!

Chrome、Firefox及Opera的漏洞

現代瀏覽器其實已找出解決方法︰

只要感應到域名混雜使用多種語言,瀏覽器便不會顯示Unicode,反而會顯示Punycode,以免用家混淆同形義字的不同域名。

然而,中國資安研究人員Zheng Xudong數月前發現,三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞。當黑客只使用一種外語取代域名的每一個字符,以上三個瀏覽器皆未能偵測出可疑的域名,更未能以Punycode顯示它的「原型」!Zheng Xudong製作了一個假Apple網站展示以上漏洞,你也可以親眼看看:аррӏе.com(放心,沒有毒!)

Screen-Shot-2017-04-19-at-21_55_48
圖片由作者提供
Apple看起來是Apple,但其實是外語!(圖為瀏覽器Opera的畫面)

另外,我亦在本地資訊安全研究機構VXRL的安全研究人員Zetta的協助下,製作了一個假Microsoft網站,這個網站連介面也「抄」到十足︰Microsoft Demo (同樣安全)︰

Screen-Shot-2017-04-19-at-21_46_36-1
圖片由作者提供
留意SSL認證的詳細資料,網址為Punycode,可見這並不是真正的Microsoft網站。(圖為瀏覽器Opera的畫面)

更麻煩的是,這兩個假網站已成功得到SSL認證,為「安全」的HTTPS網站!雖然SSL只能認證網站的數據傳輸過程保密、沒有第三方監視,不代表網站安全無毒,但Chrome、Firefox及Opera皆會直接顯示為「Secure」。假Apple網既有SSL認證,讀起來更和真Apple一模一樣,你又如何分辨?SSL認證制度無疑令「同形異義字」攻擊更難抵擋。

Firefox和Chrome已著手處理問題,前者未有正式修補漏洞的方案,但用戶可以設定瀏覽器強制顯示Punycode網址;而後者則已4月19日推出包括修補檔的更新。

責任編輯︰鄭家榆
核稿編輯︰歐嘉俊

或許你會想看
更多『評論』文章 更多『科技』文章 更多『Eric Fan 范健文』文章
Loader