假網站如何利用真.APPLE網址,騙取你的個人資料?(范健文) – StartupBeat

假網站如何利用真.APPLE網址,騙取你的個人資料?(范健文)

By on April 21, 2017

本文作者范健文為香港資訊科技商會資訊保安召集人,原文刊於cybersecurity.plus

apple 21 apr

apple.com可以不是真 “apple”?中國資安研究人員Zheng Xudong近日公開調查,指他在數月前發現三個著名瀏覽器ChromeFirefoxOpera的防禦機制設計含有漏洞,令罪犯可以製作出「同形義字」的假Apple釣魚網站,加上「安全」HTTPS認證,看起來更和真的 “apple.com”一樣!

此 ‘a’不同彼 ‘a’  網址都有分兩文三語!

現實世界中有不同語系,網絡世界其實也有,例如中國的.cn網站、台灣的.tw網站就有一部分是直接選用中文作網址。自2007年起,網絡系統便接受英文以外的網址,中文、阿拉伯和斯拉夫語言等字符也可以用作域名,稱為國際化域名標籤(IDNA。這些語言本來都是以萬國碼Unicode編碼、顯示,但是域名系統受技術所限只能使用ASCII編碼,於是負責管理域名及IP地址的組織ICANN就通過,其他語言需要根據域名代碼Punycode字符集,將Unicode「轉換」為ASCII制式。例如,德文「münchen」(德國慕尼黑)會被編碼為「xn—mnchen-3ya」,中文「香港」就會被編碼為「xn—j6w193g」。

Screen-Shot-2017-04-19-at-22.00.49

Cyrillic字母與拉丁字母的分別。俄文為Cyrillic的代表語言,英文則是拉丁字母的代表。(圖片來源:Learningrussian.net/)

「同形義字Homograph」攻擊

不過,IDNA有一個致命的問題,那就是這種可以由不同語系字符組成的域名,令罪犯有機會可以用「同形義字Homograph」的方式製作以假亂真的網址。舉例而言,域名中的 “apple” 本應為拉丁字母的 “a”,但罪犯以Cyrillic字母(即斯拉夫語言所用的字符)的 “a”取替,開設新網站。用家以為Cyrillic [‘a’pple]就是拉丁[ ‘a’pple] ,被誤導向罪犯提供真資料。

早在2005年,ICANN就已經提出Homograph Attack的潛在危機,不過當時未有處理。及後在2011年更出現實際例子,域名為Cyrillic字母的假網站 “raural[dot]com” 由Unicode顯示,網址看起來竟與網上支付網站 “PayPal.com竟然近乎一模一樣!

圖片來源:Mashable

圖片來源:Mashable

域名問題不受OS所限。不過今次的漏洞與Microsoft Edge無關,假Apple.com在Edge上是以Punycode顯示的。

域名問題不受OS所限。不過今次的漏洞與Microsoft Edge無關,假Apple.com在Edge上是以Punycode顯示的。

ChromeFirefoxOpera的漏洞

現代瀏覽器其實已找出解決方法:只要感應到域名混雜使用多種語言,瀏覽器便不會顯示Unicode,反而會顯示Punycode,以免用家混淆同形義字的不同域名。

然而,中國資安研究人員Zheng Xudong數月前發現,三個著名瀏覽器ChromeFirefoxOpera的防禦機制設計含有漏洞。當黑客只使用一種外語取代域名的每一個字符,以上三個瀏覽器皆未能偵測出可疑的域名,更未能以Punycode顯示它的「原型」!Zheng Xudong製作了一個假Apple網站展示以上漏洞,你也可以親眼看看:Apple.com Demo(放心,沒有毒!)另外,我亦在本地資訊安全研究機構VXRL的安全研究人員Zetta的協助下,製作了一個假Microsoft網站,這個網站連介面也「抄」到十足:Microsoft Demo 同樣安全

留意SSL認證的詳細資料,網址為Punycode,可見這並不是真正的Microsoft網站。(圖為瀏覽器Opera的畫面)

留意SSL認證的詳細資料,網址為Punycode,可見這並不是真正的Microsoft網站。(圖為瀏覽器Opera的畫面)

Apple看起來是Apple,但其實是外語!(圖攝於Opera)

Apple看起來是Apple,但其實是外語!(圖攝於Opera)

更麻煩的是,這兩個假網站已成功得到SSL認證,為「安全」的HTTPS網站!雖然SSL只能認證網站的數據傳輸過程保密、沒有第三方監視,不代表網站安全無毒,但ChromeFirefoxOpera皆會直接顯示為 “Secure”。假Apple網既有SSL認證,讀起來更和真Apple一模一樣,你又如何分辨?SSL認證制度無疑令「同形義字Homograph」攻擊更難抵擋。甚麼是HTTPS?原來HTTPS也可以是釣魚網站!

FirefoxChrome已著手處理問題,前者未有正式修補漏洞的方案,但用戶可以設定瀏覽器強制顯示Punycode網址;而後者則會在月底推出包括修補檔的更新。

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們