Google heeft versie 58 van de Chrome-browser uitgebracht. Tussen de wijzigingen is een update voor de manier waarop de browser Unicode-domeinen weergeeft. Dit moet beschermen tegen een variatie van een homograph attack, die kan worden gebruikt voor phishing.

Moderne browsers beschermen gebruikers op verschillende manieren tegen een dergelijke aanval, maar onlangs publiceerde onderzoeker Xudong Zeng een methode die alsnog het mogelijk maakt om Firefox-, Opera- en Chrome-gebruikers een domeinnaam met buitenlandse tekens voor te schotelen, die eruitziet als een legitiem domein. De onderzoeker demonstreerde dit aan de hand van het Apple-domein, apple.com, dat in werkelijkheid het domein xn--80ak6aa92e.com is.

De werking van de methode hangt samen met internationalized domain names, die in het leven werden geroepen om tekens in domeinen weer te geven die niet in het Latijnse alfabet voorkomen. Deze domeinnamen worden als ascii opgeslagen met toepassing van punycode. Dat is een manier om Unicode weet te geven met ascii. Omdat het verschil tussen sommige Unicode- en ascii-tekens moeilijk te zien is, is het op deze manier mogelijk om een phishingdomein in het leven te roepen dat op het oog niet verschilt van een legitiem domein.

Volgens Zeng werken de bestaande beschermingsmaatregelen van de genoemde browsers niet tegen zijn methode die gebruikmaakt van tekens uit één enkele taalset, in dit geval Cyrillisch. Google heeft in de Chrome 58-update nu een aanpassing doorgevoerd, waardoor het domein van de onderzoeker alsnog als punycode wordt weergegeven. Op zijn pagina over IDN-beleid schrijft het bedrijf dat de oplossing 'een poging is om de aan de behoefte van de internationale userbase tegemoet te komen en tegelijkertijd te beschermen tegen homograph attacks'.

De oplossing waar Google voor heeft gekozen toont het punycode-domein voor domeinen die volledig zijn opgebouwd uit Cyrillische tekens die lijken op Latijnse tekens, terwijl het top level-domein geen IDN is. De oplossing werkt daarom alleen voor domeinen als .com, .net en .uk, aldus Google. Het bedrijf zegt aan aanvullende oplossingen te werken. Bij Mozilla vindt een discussie plaats over de vraag of er een patch in Firefox wordt geïmplementeerd, het lijkt er vooralsnog op dat dit niet gebeurt. Firefox-gebruikers kunnen er zelf voor zorgen dat IDN's als punycode worden weergegeven.

Gebruikers kunnen testen of ze de update met de fix al hebben door de pagina van Zeng te bekijken in Chrome. Als de url-balk xn--80ak6aa92e.com weergeeft, is de browser niet vatbaar voor de aanval.

Reacties mogelijk gemaakt door CComment