▲網頁瀏覽器目前出現漏洞,用戶必須要注意隱私安全。(圖/達志/示意圖)
記者楊絡懸/綜合外電報導
一名中國資安專家發現最新的網頁瀏覽器漏洞,用戶若透過Chrome、Firefox、Opera等瀏覽器上網,會以為虛假域名(fake domain)顯示的網址是合法的官方網站(例如Apple、Google、Amazon),但其實根本是詐騙網頁,騙取用戶的隱私資料。
根據《The Hacker News》報導,中國資安專家Xudong Zheng從域名代碼(Punycode)字符集的特性中,發現瀏覽器認定網址的漏洞,當網址字符編碼從「Unicode碼」更換成「ASCII碼」時,理應上瀏覽器必須辨認那是不同的網址。
「Unicode碼」能代表國際化域名,如協助希臘文、西里爾文、亞美尼亞文等字符看起來就跟拉丁字母一樣,電腦會區別這些是不同的網址,但肉眼其實不容易分辨出來,當瀏覽器無法辨認時,用戶必須專心比較後才能得知輸入的網址到底正確不正確。
▲瀏覽器無法辨別字符。(圖/記者楊絡懸攝)
像是西里爾字母(Cyrillic)中的「а」(U+0430)和拉丁字符(Latin)中的「a」(U+0041),雖然在瀏覽器上看起來都是顯示「a」,但仔細端詳後會發現兩者略有不同,顯示出瀏覽器必須要改善認定符碼的機制。
從範例中可以看到,Chrome瀏覽器會顯示「www.apple.com」網址,但內容根本不是Apple的官網,出現的頁面內容反而是另一款服務;但如果把範例中的網址貼在IE或Safari,就會發現網址其實是「xn--80ak6aa92e.com」。
瀏覽器這個漏洞會導致用戶進入冒牌網站,提供個人隱私。Xudong Zheng表示,用戶如果不仔細檢查網站的URL或SSL證書,就無法辨識該網站是否為欺詐。
Chrome瀏覽器預計會在版本號58修正這個漏洞。而Firefox尚不知何時會修正,因此用戶必須先用手動的方式,在網址列輸入「about:config」按Enter鍵後,接著於尋找欄輸入「Punycode」找到「network.IDN_show_punycode」的參數,點擊兩下或按右鍵,將「False」狀態切換成「True」。
Phishing with Unicode Domains - https://t.co/bn9dMG0L1t
— Xudong Zheng (@Xudong_Zheng) April 14, 2017
讀者迴響