Har du hørt om den såkaldte IDN homograph angreb? Dette angreb truer Mac-brugere, der ikke opdaterer deres maskiner regelmæssigt.
Også kendt som script spoofing angreb, IDN (internationaliseret domænenavn) angreb tillader trussel aktører til at bedrage online brugere om det eksterne system, de er kommunikationen med ved at udnytte det faktum, at mange tegn ligner hinanden.
Mere specifikt, et sådant angreb kan opstå, når en person registrerer et domæne ved hjælp Unicode-tegn, der synes at være standard latinske bogstaver, mens de i virkeligheden ikke er.
Her er et eksempel: coinḃase.com er et IDM homograph angreb coinbase.com, og den eneste forskel mellem de to er den lille prik over brevet “b” i det første tilfælde. Som for Mac-computere, spørgsmålet drejer sig om ”d” brev, og sårbarheden er tildelt den CVE-2018-4277 nummer.
CVE-2018-4277 Teknisk beskrivelse
Som forklaret af Apple https://support.apple.com/en-us/HT208854, sårbarheden påvirker OS X El Capitan 10.11.6, MacOS Sierra 10.12.6, og MacOS High Sierra 10.13.4, og kan udløses ved at besøge et ondsindet websted, resulterer i en adresselinjen spoofing:
Indvirkning: Besøg på et skadeligt websted kan føre til adresselinjen spoofing
Beskrivelse: En spoofing problem eksisterede i håndteringen af URL-adresser. Dette spørgsmål blev behandlet med forbedret inputvalidering.
Sårbarheden blev opdaget af en sikkerhedsekspert hos Tencent Security Xuanwu Lab, der besluttede at undersøge, hvordan Apple-produkter håndterer Unicode-tegn. Hans interesse for emnet blev udløst af forøgelsen af IDM homograph angreb er registreret i de seneste måneder.
Samlet, forskerens analyse viste, at Apples håndtering af de fleste Unicode-tegn er rigtig god, med undtagelse af et bogstav - bogstavet dum (ꝱ) (U + A771), som er en del af den udvidede latinske alfabet tegnsæt.
I min forskning, Jeg fandt latin lille bogstav dum (U + A771) glyf er meget lig latin lille bogstav D (U + 0064) i Apple-produkter. Fra glyf standard for Unicode (U + A771), Vi kan se, at der skulle være en lille apostrof efter d, men dette er fuldstændig ignoreret i Apple-produkter, forskeren skrev.
Det viser sig at "en hacker kan spoof alle domænenavne, der indeholder “d” Karakter". Det betyder, at omkring 25% af hjemmesiden domænenavne i Google Top 10K domænenavnet kan blive snydt, fordi de har den ’d’ karakter.
Forskeren også forudsat en video demo af angrebet. De domæner, der kan blive påvirket af dette angreb omfatter LinkedIn, Baidu, Dropbox, Adobe, WordPress, Reddit, eller GoDaddy, blandt mange andre kendte hjemmesider.
Hvad kan Apple-brugere gøre for at beskytte sig selv? Hvis en opdatering er ikke muligt for en eller anden grund, Apple-brugere kan være ekstra forsigtig ved nøje at undersøge bogstavet ”d” i Safari URL bar, fordi det ikke kan være bogstavet ”d” efter alt. Hvis der ikke kan anvendes Apples sikkerhedsrettelser fra og med juli, kan det være en god idé at bruge en anden browser.