Image credit:

Vorsicht vor dem Punycode-Angriff

Google tut was dagegen, Mozilla wartet noch. IE, Edge & Safari sind sicher
0 Shares
Share
Tweet
Share
Save

Sponsored Links

Ein starker Passwortschutz reicht nicht aus, um gegen Datendiebstahl gefeit zu sein. Phishing-Angreifer legen ihre Opfer durch Vortäuschung legitimer Websites so herein, dass sie ihre Passwörter ganz freiwillig preisgeben. Eine alte Masche der Phisher ist ein Homographie-Angriff, bei dem die Verwechselbarkeit von Buchstaben verschiedener Zeichensysteme ausgenutzt wird, um zum Beispiel die täuschend echte Domain apple.com zu registrieren. Nur wer ganz genau nachschaut, erkennt, dass es sich dabei um eine Unicode-Domain handelt, im Klartext: https://www.xn--80ak6aa92e.com.

Der Sicherheitsforscher Xudong Zheng hat diese Fake-Apple-Website registriert, um auf das Problem aufmerksam zu machen. Im Januar informierte er alle Browser-Hersteller. Ihm zufolge sind zwar beide Microsoft-Browser, Vivaldi, Brave und Apples Safari davor gefeit (sie zeigen Warnmeldungen an). Aber Google Chrome, Firefox und Opera stellen die täuschenden Unicode-Domains noch an, als ob nichts wäre.

Google hat bereits für die nächste Chrome-Version 58 einen Patch eingebaut, bei Mozilla denkt man Zheng zufolge noch über Maßnahmen nach. Was bei Opera los ist, ist (mir) unbekannt.

Der Angriff ist möglich, weil bei der Erfindung des Internets nicht weit genug gedacht wurde. Domain-Namen werden als ASCII-Code aus 26 lateinischen Buchstaben abgespeichert. Für Sonderzeichen, Symbole oder gar andere Zeichensysteme dachte niemand. Damit nun aber auch Domains mit chinesischen Schriftzeichen oder gar deutsche Umlaute angemeldet werden können, wurde das Punycode-System erfunden. Es übersetzt Unicode-Zeichen in ASCII-Zeichen, zum Beispiel www.schön.de wird bei der Übertragung in Punycode ein www.xn--schn-7qa.de, aus www.☺.de wird ein www.xn--74h.de. Die Empfänger-Browser rückübersetzen den Punycode dann wieder in Unicode-Zeichen und stellen es hübsch in der Adresszeile dar.

Nur ermöglicht das Angreifern, eben Domain-Namen zu registrieren, die aus Punycode/ASCII-Perspektive völlig unverfänglich und eindeutig sind, aber in der Rückübersetzung sich zur Täuschung manifestieren: Aus https://www.xn--80ak6aa92e.com wird apple.com - das L ist im Unicode der kyrillische Buchstabe kleines Palotschka.

Website-Screenshot


Wer diese Website mit einem der sicheren Browser ansurft, wird zumindest gewarnt: Achtung, es könnte sich um einen Phishing-Versuch handeln. Die anderen Browser erfüllen - wie sie ja an sich auch sollen - ihren Dienst, rückübersetzen den Punycode in Unicode und leiten somit den Besucher in die Irre.

Für Firefox-Nutzer

Es gibt gute Gründe, die Lücke nicht zu schließen, zum Beispiel für alle jene, die viel mit Unicode-Domains zu tun haben. Wer aber seinen Firefox jetzt schon abdichten will, kann das einfach so tun: Über about:config rein in die Konfigurationsdatei und dort den Punkt network.IDN_show_punycode auf true stellen. Damit zeigt Firefox keine Unicode-Adressen mehr an, sondern ihre wenig lesbaren Punycode-Varianten. www.apple.com wird so nach wie vor genau so erscheinen. Aber eine Phishing-Website als www.xn--80ak6aa92e.com.

From around the web

Page 1Page 1ear iconeye iconFill 23text filevr