En färsk rapport från Ars Technica indikerade att “med hjälp från Google [Ads],” kunde bedragare imitera Brave webbläsares hemsida för att distribuera skadlig programvara till intet ont anande offer.
En del av attacken möjliggjordes av olika särdrag hos Google Ads (nämligen möjligheten att visa en domän i en annons, men faktiskt gå till en annan domän när du klickar på den) och Google Sök (som placerar annonser som liknar sökresultaten ovanför faktiska resultat). Men en annan del av attacken har att göra med en funktion i vissa webbläsare relaterade till Internationalized Domain Names (IDN), som använder Punycode-kodning. I det här fallet använde angriparna “bravė” i sin lookalike-domän istället för “modig” – vilket kan vara svårt att urskilja, i vissa fall. Denna typ av attack är känd som en IDN-homografattack.
Vad är Punycode och IDN?
Domännamn (till exempel intego.com) kan bara innehålla vanliga bokstäver, siffror och bindestreck på engelska. Men vad händer om du vill att en domän ska representera ett språk som använder tecken som inte finns i det engelska alfabetet? Du kanske vill ha en domän som innehåller ett tecken med ett diakritiskt tecken som ñ från spanska, ç från franska eller ü från tyska, eller så kanske du vill ha en domän med japanska, kinesiska eller andra tecken. Punycode är ett sätt att koda sådana tecken inom ASCII-teckenuppsättningen som är tillåten för domännamn, och ett Internationalized Domain Name (IDN) innehåller Punycode-strängar förestående av de fyra tecknen “xn--“.
Om du inte läser eller besöker webbplatser på flera språk, kanske du vill se till att din webbläsare inte döljer det “riktiga” domännamnet bakom Punycode, för att undvika att potentiellt bli lurad av lookalike-domäner.
Hur hanterar min favoritwebbläsare Punycode IDN?
Jag testade ett antal populära (och några mindre kända) macOS-webbläsare, laddade ner från deras engelskspråkiga hemsidor och installerade i en amerikansk engelsk konfiguration av macOS. (Jag anger engelska, eftersom det är möjligt att vissa webbläsare kan ha andra standardinställningar om de laddas ned på andra språk eller om de installeras medan macOS har ett annat standardspråk.) Baserat på mina tester visade följande webbläsare “xn--” (“riktig “) domännamn, snarare än domäner med lookalike tecken:
- Safari 14 på macOS 11
- Google Chrome version 92
- Microsoft Edge version 92
- Brave version 92
- Opera version 78
- Vivaldi version 4.1
- Waterfox Classic 56.5
Två av dessa webbläsare får bonuspoäng för att gå utöver att bara visa de faktiska domännamnen. Opera visar ett helsidesvarningsmeddelande innan sidan laddas:
“Menade du [the English-alphabet variation of the domain]? Webbplatsen du just försökte besöka ser falsk ut. Angripare härmar ibland webbplatser genom att göra små, svåra att se ändringar av webbadressen.”
Operas varningsmeddelande har två knappar: “Gå till [the English-alphabet variation of the domain]” eller “Ignorera” – den senare laddar “xn--“-domänen och visar den som sådan.
Microsoft Edge är lite mindre skyddande än Opera, men beter sig bättre än de andra webbläsarna som anges ovan. Edge laddar plikttroget “xn--“-webbplatsen och visar domänen som sådan, men det dyker upp en liten varning som säger, “Det här verkar inte vara rätt webbplats”, och den frågar: “Menade du att vara på [the English-alphabet variation of the domain]?”
Även om dessa webbläsare är säkrare från IDN-homografattacker, visar följande webbläsare som standard potentiellt vilseledande domännamn:
- Firefox version 90
- Tor Browser version 10.5
Hur kan jag konfigurera Firefox eller Tor Browser så att de inte visar IDN?
Om du är orolig för att standardinställningen kan leda till att du blir nätfiskad eller drabbas av skadlig programvara, kan du konfigurera om båda Firefox och Tor webbläsare för att visa den faktiska domänen (som börjar med “xn--“) istället för den tolkade domänen i adressfältet. För att göra det, följ dessa steg:
- Skriv about:config i adressfältet och tryck på Retur eller Enter på tangentbordet.
- Klicka på knappen “Acceptera risken och fortsätt”.
- Sök efter network.IDN_show_punycode (det är enklast att bara börja skriva “puny”).
- Dubbelklicka på den posten (eller klicka på växlingsknappen på samma rad) för att ändra från standardinställningen “falskt” till “sant”.
Efter att ha gjort denna ändring kommer Firefox eller Tor Browser att behålla den här inställningen även efter att du stänger webbläsaren. Observera att om du har flera användarkonton på din Mac måste du konfigurera den här inställningen för varje användare.
Utsätts även äldre webbläsare för IDN-homografattacker?
Vi rapporterade ursprungligen om Punycode-domänattacker i april 2017, när forskare varnade för att sjukvårdssajter och till och med apple.com kunde vara förfalskade i många populära webbläsare.
Om du fortfarande använder en mycket gammal och föråldrad webbläsare, särskilt en som senast uppdaterades före 2017 (som Chrome 57 och tidigare, och Opera 44 och tidigare) kan också bli föremål för IDN-homografattacker. Om din webbläsare är mycket gammal, uppdatera till en nyare webbläsare för att säkerställa att du är skyddad från nyligen korrigerade sårbarheter.
Hur kan jag lära mig mer?
Varje vecka på Intego Mac Podcast, Integos Mac-säkerhetsexperter diskuterar de senaste Apple-nyheterna, säkerhets- och integritetsberättelser och ger praktiska råd om hur du får ut det mesta av dina Apple-enheter. Var säker på att följ podden för att se till att du inte missar några avsnitt.
Du kan också prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac Säkerhetsblogg för de senaste nyheterna om Apples säkerhet och integritet. Och glöm inte att följa Intego på dina favoritkanaler för sociala medier: Facebook, Instagram, Twitter och YouTube.
Om Joshua Long
Joshua Long (@theJoshMeister), Integos chefssäkerhetsanalytiker, är en känd säkerhetsforskare, skribent och offentlig talare. Josh har en magisterexamen i IT med fokus på Internetsäkerhet och har tagit kurser på doktorsnivå i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har bedrivit cybersäkerhetsforskning i mer än 20 år, vilket ofta har presenterats av stora nyhetskanaler över hela världen. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget postades i Malware. Bokmärk permalänken.
