Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google brengt Chrome-update uit die 'onzichtbare' phishingaanval voorkomt

Door , 31 reacties

Google heeft versie 58 van de Chrome-browser uitgebracht. Tussen de wijzigingen is een update voor de manier waarop de browser Unicode-domeinen weergeeft. Dit moet beschermen tegen een variatie van een homograph attack, die kan worden gebruikt voor phishing.

Moderne browsers beschermen gebruikers op verschillende manieren tegen een dergelijke aanval, maar onlangs publiceerde onderzoeker Xudong Zeng een methode die het alsnog mogelijk maakt om Firefox-, Opera- en Chrome-gebruikers een domeinnaam met buitenlandse tekens voor te schotelen, die eruitziet als een legitiem domein. De onderzoeker demonstreerde dit aan de hand van het Apple-domein, apple.com, dat in werkelijkheid het domein xn--80ak6aa92e.com is.

De werking van de methode hangt samen met internationalized domain names, die in het leven werden geroepen om tekens in domeinen weer te geven die niet in het Latijnse alfabet voorkomen. Deze domeinnamen worden als ascii opgeslagen met toepassing van punycode. Dat is een manier om Unicode weet te geven met ascii. Omdat het verschil tussen sommige Unicode- en ascii-tekens moeilijk te zien is, is het op deze manier mogelijk om een phishingdomein in het leven te roepen dat op het oog niet verschilt van een legitiem domein.

Volgens Zeng werken de bestaande beschermingsmaatregelen van de genoemde browsers niet tegen zijn methode die gebruikmaakt van tekens uit één enkele taalset, in dit geval cyrillisch. Google heeft in de Chrome 58-update nu een aanpassing doorgevoerd, waardoor het domein van de onderzoeker alsnog als punycode wordt weergegeven. Op zijn pagina over IDN-beleid schrijft het bedrijf dat de oplossing 'een poging is om aan de behoefte van de internationale userbase tegemoet te komen en tegelijkertijd te beschermen tegen homograph attacks'.

De oplossing waar Google voor heeft gekozen, toont het punycode-domein voor domeinen die volledig zijn opgebouwd uit Cyrillische tekens die lijken op Latijnse tekens, terwijl het top-leveldomein geen IDN is. De oplossing werkt daarom alleen voor domeinen als .com, .net en .uk, aldus Google. Het bedrijf zegt aan aanvullende oplossingen te werken. Bij Mozilla vindt een discussie plaats over de vraag of er een patch in Firefox wordt geïmplementeerd; het lijkt er vooralsnog op dat dit niet gebeurt. Firefox-gebruikers kunnen er zelf voor zorgen dat IDN's als punycode worden weergegeven.

Gebruikers kunnen testen of ze de update met de fix al hebben door de pagina van Zeng te bekijken in Chrome. Als de url-balk xn--80ak6aa92e.com weergeeft, is de browser niet vatbaar voor de aanval.

Reacties (31)

Wijzig sortering
Om het onderscheid te zien tussen de verschillende tekensets, stel ik voor om met kleur-codes te werken. Mijn eigen (lokale) tekenset gekleurd volgens het slotje, maar de andere tekensets in hun eigen kleur. Dan is het toch leesbaar maar ook opvallend.
Hoe ziet iemand dat als diegene kleurenblind is?
Verschil in helderheid, grijstinten, Ander lettertype, schuin, vet, onderstreept, doorgestreept, groter, kleiner, superschift, subschrift...
Zolang de variatie instelbaar is, komen we daar wel uit.
Ik zat ook aan zoiets te denken, want zomaar de functionaliteit uitschakelen om UTF in URL's te hebben vind ik onelegant. Het criterium dat Google gebruikt om frauduleuze domeinen te herkennen vind ik iets teveel westerse sites bevoordelen.
Hulde, dat lijkt me inderdaad de correcte oplossing. Ik heb nog niet alle reacties gelezen (laat staan alle reacties in voorgaande berichten over soortgelijke problemen), maar tot nog toe is dit de enige oplossing die ik zou durven voorstellen aan gebruikers van een ander schrift. Alle andere ideeŽn geven "ons" alfabet een voorkeurspositie en zetten alle andere schriften op de tweede plaats; een nogal arrogante benadering van het probleem. Dit voorstel is "eerlijk" in de zin dat elk schrift gelijkwaardig wordt behandeld (bij een gebruiker die Cyrillisch verwacht zal een homograph-aanval met Latijnse tekens ook een rode adresbalk opleveren) en zou dus voor iedereen acceptabel moeten zijn.
Voor de Firefox gebruikers op deze manier ook te kopiŽren en te plakken:

Firefox users can limit their exposure to this bug by going to about:config and setting network.IDN_show_punycode to true. This will force Firefox to always display IDN domains in its Punycode form, making it possible to identify malicious domains.
Kan ik niet vinden, network.IDN in Fx 53 :?

Correctie: gevonden. Niet goed gekeken.

[Reactie gewijzigd door desalniettemin op 20 april 2017 16:42]

Hier nog vatbaar in Chrome. Als ik echter handmatig een P vervang door een zelfgetypte 'P' krijg ik 'https://www.xn--p-7sbq7b33c.com/' te zien. Alsof hij het bij een combinatie van karaktersets wŤl goed weergeeft.
Dat klopt. Hij toont alleen 'apple.com' als alle tekens in het Cyrillisch zijn.

Uit het artikel:
Volgens Zeng werken de bestaande beschermingsmaatregelen van de genoemde browsers niet tegen zijn methode die gebruikmaakt van tekens uit ťťn enkele taalset, in dit geval Cyrillisch.
Dat is precies wat chrome nu doet. Unicode domeinen worden als Unicode weergegeven als alle karakters uit dezelfde karaktersets komen. Je kunt dus niet een cyrillische k gebruiken om een normale (Latijnse) k te vervangen, in een domeinnaam die verder helemaal in Latijnse karakters is gespeld. Google (en andere browserfabrikanten) hadden echter niet voorzien dat je met een enkele karakterset alsnog genoeg van de Latijnse karakterset kunt simuleren om alsnog een herkenbaar domein te krijgen.
net ook nog vatbaar, maar even naar help -> over google chrome en hij ging gelijk de update downloaden. Nu niet meer vatbaar :)
Het probleem met Unicode glyphs is al decennia lang bekend. Vreemd dat het nu weer aan de orde komt.
Inderdaad. Safari is bijvoorbeeld niet te bedotten met dit soort spoofs. Best Bizar dat Google er zo laat mee afkomt.
Zonder al te eurocentrisch over te willen komen, kan ik me niet aan de indruk ontrekken dat het beter was geweest om die niet-Latijnse karakters niet te ondersteunen.

Vrijwel iedere taal heeft wel een systeem – of meerdere systemen – van romanisatie. Ja, het beperkt de mogelijkheden ietwat, omdat zeker in tonale talen verschillende woorden kunnen leiden tot dezelfde romanisatie (zonder accenttekens).

Ik zou echter betogen dat de betrouwbaarheid en voorspelbaarheid van het wereldwijde web meer waard is dan het ondersteunen van grotere karaktersets, zeker waar het een gTLD aangaat.

Het web is dan wel wereldwijd, maar Engels is toch wel redelijk de lingua franca van het internet. 'Gekke karaktertjes' zou je dan enkel binnen de relevante ccTLD kunnen ondersteunen.
Dat geldt voor China (en mogelijk ook andere landen) zeer zeker niet. Daar is Chinees toch echt de taal op het internet. Ze hebben hun eigen Chinese Facebook, Twitter, Youtube, Skype, Whatsapp, etc. En vergis je niet in in het aantal chinezen wat er rond loopt. Dat wij nooit op Chinese websites komen betekend nog niet dat Engels de 'lingua franca van het internet' is.
Dan zou je echter alsnog kunnen stellen dat dergelijke karakters enkel binnen .cn zouden mogen vallen.
Dan zou je echter alsnog kunnen stellen dat dergelijke karakters enkel binnen .cn zouden mogen vallen.
Hoewel ik je reactie begrijp (en het een hele tijd geleden ook mijn eerste idee was) ben ik het er niet mee eens... en jijzelf ook niet: "Zonder al te eurocentrisch over te willen komen". Waar jouw voorstel op neerkomt is immers dat (bedrijven uit) landen waar het Latijnse alfabet niet wordt gebruikt effectief zijn uitgesloten van het gebruik van een .com-domein. Het is heel makkelijk gezegd voor iemand die zelf toevallig een taal spreekt die met hetzelfde alfabet wordt geschreven als het Engels, maar aan de rest van de wereldbevolking (waarvan het me niet zou verbazen als Cyrillisch + Arabisch + Chinees + Japans aanzienlijk meer gebruikers heeft dan Latijns) kun je het niet uitleggen.

Ik weet van mezelf hoe vreselijk irritant ik het vind om in BelgiŽ achter een computer te zitten en op een Azerty-layout te moeten tikken (met alle respect voor de Belgen; die hebben uiteraard het volste recht om zelf hun layout te kiezen, zonder zich zorgen te maken of dat fijn is voor Nederlanders), en dat zijn welgeteld vijf letters die op een andere plek zitten. Laatste keer dat ik er was heb ik op mijn tablet, naast Engels en Nederlands, ook de Sloveense keyboard layout aangevinkt, zodat ik (relatief) eenvoudig č, ® en ł kan typen (de rest van hun alfabet is hetzelfde als het onze) om de namen van onze gastheren correct te spellen. Geloof me, dat gaat allemaal heel snel vervelen; ik wil niet eens weten hoe het is om tientallen (honderden?) keren per dag compleet over te moeten schakelen tussen Latijns en een ander schrift. Wat mij betreft kan ik dat dan ook niet van andere mensen vragen.

Daarnaast zeg je in je eerdere reactie "Het web is dan wel wereldwijd, maar Engels is toch wel redelijk de lingua franca van het internet". Daar maak je nogal een denkfout; bedoel je niet "The web may be worldwide, but English is pretty much its lingua franca"...?
Ze zijn er niet effectief van uitgesloten. Men zou dan bijvoorbeeld een romanisatie kunnen toepassen, zoals Huawei dat ook doet. Bovendien zou je ook kunnen stellen dat het huidige systeem voor het Nederlands tekortschiet, aangezien accenten ook niet gebruikt werden voor de IDN-uitbreiding.

Het is van mijn kant niet zozeer onwil, maar een inschatting wat voor de stabiliteit, voorspelbaarheid en bruikbaarheid van het internet de voorkeur zou hebben. Dan plaats ik dus inderdaad mijn twijfels bij het toestaan van diverse nieuwe, soms zeer sterk gelijkende karakters binnen de karakterset, evenals de invoering van de talloze nieuwe gTLD's.

Overigens was mijn opmerking over een lingua franca geen denkfout: een lingua franca is niet de enige of officiŽle taal van een gebied, maar juist een communicatiemiddel tussen mensen met verschillende moedertalen, zoals het Latijn dat lange tijd was voor wetenschappers. Op een Nederlandstalige nieuwssite is het dan ook geheel logisch onderling Nederlands te gebruiken. :)
Met FF53 op W7ultimate en F-Secure (gratis bij XS4ALL-internet) levert klikken op Zeng's zajt het volgende op:

"Harmful website blocked!"

Heb je zo'n virusscanner toch niet voor niets! :)
Nou ik zou daar toch niet zo blij mee zijn, want het is dus geen harmful website.. Zo'n false positive zorgt er alleen maar voor dat je minder vertrouwen krijgt in je virusscanner.
Firefox-gebruikers kunnen er zelf voor zorgen dat IDN's als punycode worden weergegeven.

Bedankt, met deze setting is dat voor de Mozilla browsers ook weer gefixt.
Wil je liever niet op de link klikken (voor welke reden dan ook), gewoon hoveren over de link toont al of de "kwetsbaarheid" er is of niet.
Lijkt het dat je naar apple.com zal surfen, dan is je Chrome nog "kwetsbaar".
Geniaal.

Meteen maar even Firefox geÔnstalleerd en die instelling aangepast, en ik wacht maar even af wat Google etc gaan doen. Het beste is denk ik een icoontje en/of andere kleur voor het URL, ik snap opzich wel dat ze het niet zomaar uit willen schakelen want het is in essentie helemaal geen verkeerde feature.

Voor de geintreseerde, zo zie je de 'echte' url in Firefox;
1] Typ about:config in je urlbalk
2] Zoek op IDN
3] Helemaal onderaan vind je network.IDN_show_punycode, zet deze op true

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*