Tấn công giả mạo tên miền trên Chrome, Firefox

Linh Anh| 20/04/2017 17:13
Theo dõi ICTVietnam trên

Mã độc tạo ra các tên miền lừa đảo giống như tên miền hợp pháp bằng kỹ thuật tấn công đồng âm (homograph attack) trên các tên miền quốc tế (IDN).

Nhà phát triển web Xudong Zheng đã chứng minh được cách mà tin tặc có thể đăng ký tên miền “xn--80ak6aa92e.com”, được hiển thị ở các trình duyệt web Chrome, Opera và Firefox giống như “apple.com.”

Unicode là tiêu chuẩn mã hóa, tượng trưng cho tất cả các ký tự và hỗ trợ tất cả các ngôn ngữ. Những ký tự của Unicode có thể sử dụng trong các tên miền Internet thông qua bộ mã hóa Punycode (bộ mã hóa đặc biệt được trình duyệt web sử dụng để chuyển các ký tự Unicode thành bộ ký tự giới hạn của ASCII (từ A đến Z, từ 0 đến 9), hỗ trợ bởi hệ thống tên miền quốc tế International Domain Name (IDNs)). Ví dụ chữ Trung Quốc “短” tương ứng với “xn--s7y.”

Các ký tự như chữ cái Kirin cổ “a” và chữ Latin “a” có thể trông giống nhau, nhưng chúng được thể hiện khác nhau trong Punycode. Điều này cho phép những người tạo mã độc tạo ra những tên miền mà các chữ cái Latin được thay bằng các ký tự Hy Lạp hoặc Cyrillic trông tương tự nhau. Đây được gọi là tấn công những từ đồng âm (homograph attack) tên miền quốc tế (IDN).

Các trình duyệt web hiện đại được thiết kế để ngăn chặn những kiểu tấn công này – ví dụ, "xn--pple-43d.com" sẽ hiển thị là "xn--pple-43d.com" thay vì “apple.com.”. Tuy nhiên, Xudong Zheng phát hiện ra rằng việc lọc này có thể bị bỏ qua trên Chrome, Firefox và Opera bằng việc tạo toàn bộ tên miền sử dụng các ký tự Cyrillic, dẫn đến "xn--80ak6aa92e.com”  được hiển thị là “apple.com”.    

Để chứng minh cho điều này, chuyên gia đã đăng ký tên miền “xn--80ak6aa92e.com” và đã nhận được chứng thực số miễn phí từ mã hóa của Let. Khi tên miền được truy nhập qua Opera, Chrome hoặc Firefox, người dùng sẽ thấy tên miền “apple.com” với chứng thực được cấp cho “apple.com.”

Xudong Zheng đã báo cáo những phát hiện của mình tới Google và Mozilla vào ngày 20 tháng 1 năm 2017. Tuy nhiên, trong khi phiên bản Chrome 58 tới hứa hẹn sẽ giải quyết vấn đề này thì Mozilla vẫn đang cố gắng tìm cách.giải quyết

Ban đầu, Mozilla xếp lỗ hổng được báo cáo là “WONTFIX,” (lỗi không nghiêm trọng, có thể xử lý sau) nhưng sau đó lại đánh giá vào loại lỗ hổng có mức độ nghiêm trọng thấp. Cho đến khi tổ chức đưa ra bản vá lỗi, người dùng Firefox có thể tự bảo vệ mình để chống lại các cuộc tấn công bằng cách gõ “about:config” vào thanh địa chỉ để truy cập các cài đặt nâng cao và thay đổi ưu tiên “network.IDN_show_punycode” thành “true.”

Edge, Internet Explorer và Safari không bị ảnh hưởng. Tuy nhiên, cần lưu ý rằng, trong báo cáo của các nhà nghiên cứu thì gần đây, tin tặc đã nhắm mục tiêu vào người dùng email của ứng dụng văn phòng Office 365 bằng cách khai thác điểm yếu của Office 365 trong việc xử lý Punycode.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Tấn công giả mạo tên miền trên Chrome, Firefox
POWERED BY ONECMS - A PRODUCT OF NEKO