Saugumo spraga slypi tame, kaip naršyklės atvaizduoja tam tikrus simbolius, įrašytus į adreso eilutę. Pavyzdžiui, naršyklės „Chrome“ versijos, žemėsnės nei 58 (šioji išplatinta kiek daugiau nei prieš parą) adreso eilutėje užrašas https://www.xn--80ak6aa92e.com/ buvo atvaizduojamas kaip https://www.apple.com. Tuo tarpu net ir naujausios „Firefox“ ir „Opera“ versijos ir toliau rodo klaidinantį lankomos svetainės adresą.
Kaip galima suprasti iš čia pateikiamo ekrano atvaizdo, svetainė yra niekaip nesusijusi su įmone „Apple“. Tad jeigu interneto adresą xn—80ak6aa92e.com sugebėtų užregistruoti piktavaliai programišiai, jie galėtų pakankamai efektyviai platinti piktybinę programinę įrangą ir vogti prisijungimo duomenis iš lankytojų, į svetainę nukreiptų per nuorodas.
Interneto programėlių kūrėjas Xudongas Zhengas, įkūręs grėsmę demonstruojančią svetainę, paaiškino, kaip veikia tokio tipo atakos.
„Punycode“ simbolių transformavimo būdas leidžia užregistruoti interneto svetaines, kurių adresas užrašomas naudojant standartinėje klaviatūroje neegzistuojančius simbolius. Jis veikia individualias svetainių žymes, užrašytas vien ASCII simboliais, konvertuodamas į platesnį simbolių spektrą turintį „Unicode“ formatą. Pavyzdžiui, adresas „xn--s7y.co“ atitinka adresą „短.co“.
Vertinant iš saugumo pusės, svetainės su „Unicode“ adresais kelia saugumo problemų, nes kai kurie „Unicode“ simboliai vizualiai sunkiai atskiriami nuo įprastinių ASCII simbolių. Pavyzdžiui, galima registruoti interneto adresą „xn—pple-43d.com“, kuris taip pat yra ekvivalentiškas „apple.com“. Iš pirmo žvilgsnio to tikrai nepastebėsite, tačiau šis „аpple.com“ yra užrašytas naudojant raidę „а“ iš kirilicos (simbolio kodas U+0430), o ne ASCII simbolį „a“ (simbolio kodas U+0061).
Laimei, tinkamai atnaujintos naršyklės turi mechanizmus, leidžiančius riboti interneto adresų homografinių formų atakų sėkmingumą. „Google Chrome“ interneto adresų svetainė nurodo sąlygas, kurioms esant adresai bus užrašomi savo „gimtąja“ „Unicode“ forma. Trumpai tariant, „Unicode“ formatas nuo vartotojo bus paslėptas, jeigu svetainės adrese yra simbolių iš kelių skirtingų kalbų. Todėl jeigu į naujausią „Chrome“ naršyklės adreso eilutę nukopijuotumėte šį „аpple.com“ adresą, turėtumėte jį matyti kaip „xn—pple-43d.com“ ir bus smarkiai sumažinta grėsmė, kad neatskirsite jo nuo paprastojo „apple.com“.
Bet net ir šis apsaugos nuo homografinių atakų mechanizmas „Chrome“, „Firefox“ ir „Opera“ naršyklėse nesuveikia, jeigu visi adrese panaudoti simboliai pakeičiami panašiai atrodančiais simboliais iš kitos kalbos (bet ne iš kelių skirtingų kalbų). Todėl „аррӏе.com“adresas (užrašytas vien kirilicos simboliais), kuris ASCII formate atrodo kaip „xn—80ak6aa92e.com“ prasprūsta pro filtrus.
Dėl šriftų, kuriuos naudoja naršyklės „Chrome“ ir „Firefox“, ir tikrasis, ir kirilicos raidėmis užrašytas adresai vizualiai yra identiški, todėl be specialių veiksmų – įmonės URL ar SSL sertifikato patikrinimo – neįmanoma pasakyti, kad adresas yra netikras. Pasitikrinti interneto svetainės adreso užrašymo būdą galima naudojantis šia nesudėtinga programėle.
„Safari“ ir keletas kitų rečiau naudojamų naršyklių yra atsparios šiai saugumo spragai.
Šis klausimas sukėlė ganėtinai audringas diskusijas „Mozilla“ naršyklės kūrėjų forume. Kol kas pagrindiniai šios naršyklės kūrėjai laikosi pozicijos, kad nekeis įprastinio naršyklės veikimo susidūrus su adresais, transformuojamais per „Punycode“.
Mat toks „pakeitimas sugadintų visų ne lotynų kalbos raidėmis užrašytų interneto adresų išvaizdą“, - rašė vienas iš „Mozilla“ autorių, Gervase'as Markhamas. „Tai nėra labai naudinga žmonėms ir šalims, naudojantiems ne tik lotynų abėcėlės raides. Norime, kad internete vienodai būtų elgiamasi su visomis kalbomis ir rašmenimis“, - teigė jis.
Naršyklės „Chrome“ naudotojams rekomenduojama kuo skubiau atsinaujinti iki 58 versijos.
Naršyklės „Chrome“ naudotojams rekomenduojama kuo skubiau atsinaujinti iki 58 versijos, „Firefox“ naudotojai, nenorintys apsigauti, adreso eilutėje turėtų įrašyti tekstą „about:config“, sutikti su parodytu įspėjimu. O atsidariusiame lange į paieškos eilutę įrašyti „punycode“. Ekrane turėtumėte pamatyti eilutę „network.IDN_show_punycode“. Dvigubu pelės paspaudimu žodį „false“ pakeiskite į „true“. Po tokio pakeitimo „Firefox“ visus simbolius rodys „bukais ASCII“ rašmenimis, kas reiškia, kad negražiai matysite ir adresus, kuriuose turėtų matytis išskirtiniai lietuviški rašmenys – ą, č, ę, ė ir kt. Kita vertus, nepakliūsite ir į klaidingus adresus prakišinėti ketinančių programišių pinkles.
„Microsoft Edge“ ir „Internet Explorer“ naršyklėms ši saugumo spraga taip pat nebūdinga – bent jau kol jose nėra kirilicos pagrindo kalbų palaikymo.
Daugiau apie šią saugumo spragą galima paskaityti kibernetinio saugumo bendrovės „McAfee“ tinklaraštyje.
