Phishing ist wohl das unbeliebteste aller Arten des Datendiebstahls, denn bei Phishing ist man zumeist selber daran schuld, wenn man seine Daten an nicht vertrauenswürdige Dritte weitergibt. Und wie wir ale wissen, schiebt man die Schuld ja lieber auf andere. Aber wie auch immer, eine Sicherheitslücke, welche sich perfekt eignete für Phishing wurde nun von Google in Chrome 59 behoben.
Chrome 59 ist aktuell eine Canary-Version, aber die Behebung des folgenden Fehlers sollte auch zeitnah in die Hauptversion übernommen werden. Es ist aktuell nämlich möglich Phishing-Domains hinter normalen Domains zu verstecken. So leitet zum Beispiel apple.com nicht zur Startseite unseres großen Apfels um, sondern auf die Webseite https://www.xn--80ak6aa92e.com.
Dies ist möglich dank des Punycodes, welches es erlaubt Domains auch in anderen Zeichensätzen zu registrieren. Diese Domains beginnen mit dem Kürzel xn-- und werden vom jeweiligen Browser in die lokale Sprache übersetzt. Die Adressen sind ASCII codiert. Beispielsweise würde die Domain „xn--s7y.co“ in chinesischen Browsern als „短.co“ angezeigt werden.
Dieses Problem wurde Google und Mozilla bereits am 20. Januar gemeldet. Google ist dieses Problem nun angegangen. Aber bei Mozilla ist man kurioserweise noch unentschlossen, ob man dies patchen möchte. Im Moment können Nutzer aber unter about:config die Option network.IDN_show_punycode auf true setzen, um die alternativen Domains in Firefox anzuzeigen.
Via: Engadget
Na da warte ich doch nicht auf die offizielle Chrome-Version, sondern nutze (sowieso schon) lieber den aktuellen Edge-Browser. Da wird die oben aufgeführte Beispiel-Seite beim Mouse-over korrekt mit ihrem richtigen Namen angezeigt, beim Firefox nicht, da erscheint die Fake-Adresse vom Apfel.
Auch Vivaldi scheint das schon implement zu haben (zeigt wie Edge die „xn-“ Adresse an). Firefox sowie Cyberfox – ja nur nach Änderung der Option.
Wenn man aber mit uMatrix z.B. arbeitet (und selbst auf 1st Party Scripte etc. blockiert und alles manuell erlaubt) kriegt man sofort mit mit welchen Webseiten man verbunden ist.
Vivaldi hat gar nichts implementiert, um das zu verhindern.
Es hat bislang IDN-Domains, in denen Unicode-Zeichen vorhanden sind, immer als Punycode angezeigt, weil es bislang keine sicheren Listen von TLD und Domains gibt.
Das Problem ist ja ein alter Hut, seit 2001 bekannt.
Und die IANA samt der IDN-RFCs hat auch davor gewarnt, dass es bei visuelle ähnlichen Zeichen aus Unicode-Zeichensätzen Unterscheidungsprobleme zu ASCII geben kann.