歡迎加入【自由3C科技】
按個讚 心情好
已經按讚了,謝謝
自由時報
3C科技 > 網路社群

這真的不是 Apple 官網?瀏覽器漏洞讓冒牌網址太逼真!

文/記者譚偉晟 2017-04-19 17:07

(圖/PhotoPin)

由中國資安專家所揭露的最新瀏覽器漏洞,會導致用戶透過 Chrome、Firefox、Opera 等瀏覽器上網時,很可能會報冒牌網站欺騙,原因是該漏洞允許瀏覽器顯示難以區分真假的網址!

根據《The Hacker News》的報導,由中國資安專家 Xudong Zheng 所發現的這個漏洞,可以透過造假的網址,偽裝成 Apple、Google 的官方網站,藉此欺騙用戶前往錯誤的網站。

(圖/記者譚偉晟攝)

該漏洞是由於字符集 Punycode 的特性所導致,也就是當 Punycode 把 Unicode 轉換成 ASCII 顯示時,會發生網址相同的狀況。在範例中(範例網址在此),儘管透過 Safari 瀏覽器查看該網站時,顯示的網址是「www.xn--80ak6aa92e.com」,但藉由 Chrome 瀏覽器顯示卻會變成「www.apple.com」。

不過仔細看 Chrome 的網址,仍可以看到「apple」的字樣有些不同。該報導指出,像是 Cyrillic 中的「а(U+0430)」和 Latin 字符中的「a(U+0041)」儘管不是相同字母,但仍會在瀏覽器中同樣以「a」的形態顯示,顯示瀏覽器在字符轉換上仍有需改善的地方。

(圖/擷取自 The Hacker News)

由於這類漏洞可能會導致用戶誤信冒牌網站,提供個人隱私資訊,因此 Google 與 Mozilla 已經在 1 月時針對該漏洞進行修正開發,其中 Chrome 瀏覽器預計會在版本號 58 的瀏覽器中修正這個漏洞。

至於 Firefox 由於仍未確認修復時間,因此用戶可以透過手動的方式避免該漏洞出現。首先在網址列輸入「about:config」,接著在搜尋欄位輸入「Punycode」找到「network.IDN_show_punycode」,點擊兩下讓「False」狀態變成「True」即可。

【延伸閱讀】
 Email 成駭客狙擊首選?3 大詐騙手法揭露!

1

自由電子報 APP 全新上線

iOS

Android

↓按讚加入自由 3C 科技粉絲團↓

相關文章