(圖/PhotoPin)
由中國資安專家所揭露的最新瀏覽器漏洞,會導致用戶透過 Chrome、Firefox、Opera 等瀏覽器上網時,很可能會報冒牌網站欺騙,原因是該漏洞允許瀏覽器顯示難以區分真假的網址!
根據《The Hacker News》的報導,由中國資安專家 Xudong Zheng 所發現的這個漏洞,可以透過造假的網址,偽裝成 Apple、Google 的官方網站,藉此欺騙用戶前往錯誤的網站。
(圖/記者譚偉晟攝)
該漏洞是由於字符集 Punycode 的特性所導致,也就是當 Punycode 把 Unicode 轉換成 ASCII 顯示時,會發生網址相同的狀況。在範例中(範例網址在此),儘管透過 Safari 瀏覽器查看該網站時,顯示的網址是「www.xn--80ak6aa92e.com」,但藉由 Chrome 瀏覽器顯示卻會變成「www.apple.com」。
不過仔細看 Chrome 的網址,仍可以看到「apple」的字樣有些不同。該報導指出,像是 Cyrillic 中的「а(U+0430)」和 Latin 字符中的「a(U+0041)」儘管不是相同字母,但仍會在瀏覽器中同樣以「a」的形態顯示,顯示瀏覽器在字符轉換上仍有需改善的地方。
(圖/擷取自 The Hacker News)
由於這類漏洞可能會導致用戶誤信冒牌網站,提供個人隱私資訊,因此 Google 與 Mozilla 已經在 1 月時針對該漏洞進行修正開發,其中 Chrome 瀏覽器預計會在版本號 58 的瀏覽器中修正這個漏洞。
至於 Firefox 由於仍未確認修復時間,因此用戶可以透過手動的方式避免該漏洞出現。首先在網址列輸入「about:config」,接著在搜尋欄位輸入「Punycode」找到「network.IDN_show_punycode」,點擊兩下讓「False」狀態變成「True」即可。