Skip to main content

Еще в 2017 году исследователь безопасности создал поддельный веб-сайт apple.com, URL-адрес которого выглядел абсолютно правильно. Хитрость заключалась в том, что в домене, который он зарегистрировал, использовался символ Юникода, который выглядит как «а», но на самом деле является символом кириллицы.

Браузеры были обновлены, чтобы обнаруживать такого рода подделки, но это далеко не простой процесс — как показывает новое видео…

Фон

В то время мы объяснили, как это работает, и отметили, что Safari был единственным крупным браузером, обнаружившим это.

Уловка, используемая сайтом, заключается в использовании символов Unicode, которые выглядят так же, как соответствующие символы ASCII для сайта, который выдает себя за другого, объясняет исследователь Сюйдун Чжэн.

Возможна регистрация таких доменов, как «xn--pple-43d.com», что эквивалентно «аpple.com». На первый взгляд это может быть неочевидно, но «аpple.com» использует кириллицу «а» (U+0430), а не ASCII «a» (U+0061). Это известно как атака омографа.

Это не обманывает Safari, но Chrome, Firefox и Opera — все. Вы можете убедиться в этом сами, используя любой из них, чтобы посетить https://www.xn--80ak6aa92e.com (это совершенно безопасно, это сайт, созданный Чжэном в качестве доказательства концепции). В Safari вы увидите этот URL-адрес, как здесь, но в других браузерах он будет выглядеть точно так же, как https://www.apple.com.

Другие браузеры позже подтянулись, но обнаружить такой трюк гораздо сложнее, чем вы думаете.

YouTuber NoMagic создал видео, объясняющее, почему нельзя использовать очевидные решения, такие как запрет на использование символов кириллицы в URL-адресах.

Потенциальные решения, которые на первый взгляд кажутся прекрасными, но на практике могут привести к хаосу, включают:

Запрет кириллических символов в URL-адресах Запрет смешанных наборов символов Отображение предупреждений для смешанных наборов символов Отображать только символы, используемые в предпочитаемых пользователем языках

Видео объясняет проблемы с каждым из этих подходов и то, что вместо этого делают браузеры.

Это, как говорит рассказчик, простая проблема, требующая удивительно сложных, многоуровневых решений.