一名研究人员警告称,用于处理域名中特殊字符的标准中的一个安全缺陷能够使黑客在非微软公司的浏览器中显示一个欺骗性的网站。
上周末,安全专家埃利克。约翰逊在ShmooCon黑客大会上说,出现这一问题的原因在于,一些浏览器支持一种以任何语言的字母表示域名的标准化方式。被称为“国际化域名”(IDN)的这一标准能够使企业注册的域名在使用不同的语言时的显示相同。
这种编码方式使得黑客能够创建一个欺骗性网站,实施钓鱼式攻击。在Opera、Safari、Mozilla、Firefox这些受到该缺陷影响的浏览器的地址栏中,欺骗性的链接与合法的URL看起来一模一样,但它会将用户带到一个根据IDN处理规则显示为相同地址的欺骗性网站。
Mozilla基金会的技术主管克里斯。霍夫曼在一份声明中说,他们正在开发一种长期的解决方案。他说,随着钓鱼式攻击的增多,对黑客利用这一功能诱骗用户访问恶意网站的担心也在日益增长。Mozilla基金会正在寻求修正或禁用这一功能的方案,相信很快就会公布详细的资料。
最近,通过创建披着合法外衣的非法网站和发送垃圾邮件而欺骗用户“交出”秘密资料的钓鱼式攻击已经日益成为一个重大的安全问题。尽管微软公司IE浏览器中的缺陷是人们关心的焦点,但其它浏览器并非就是“铜墙铁壁”。
IDN中的安全“软肋”与注册商支持使用不同的语言和脚本表示域名有关。约翰逊在一份公告中称,由于有大量的与拉丁字符集相似的字符集,在浏览器中显示域名有许多种方式。约翰逊在公告中演示了利用PayPal域名进行的攻击,在欺骗性网站中,第一个字母“a”使用了Unicode字符集中的相应字母,使得该地址看起来象是“www.pàypal.com”,但第一个字母“a”较小。
由于微软公司还没有支持IDN,因此其IE浏览器“侥幸”不会受到该缺陷的影响。
浏览器安全已经日益获得了软件厂商的关注。12月份,互联网安全厂商Netcraft公司发布了一款据称能够帮助用户避开网络欺诈的IE插件。另外,网景公司上个月宣布,它将发布一款能够防止钓鱼式攻击的浏览器.