一个存在十年之久的名为“BiDi Swap”的Unicode漏洞,使得攻击者能够伪造URL,实施复杂的钓鱼攻击。
通过利用浏览器渲染混合的从右到左(RTL)和从左到右(LTR)语言文字的方式,威胁攻击者可以精心构造看似合法但会秘密将用户重定向到恶意网站的URL。
BiDi Swap攻击建立在先前的Unicode操纵方法之上,这些方法长期以来一直是网络安全的关注点。
过去,攻击者利用国际域名代码(Punycode)的“同形异义字攻击”注册包含非拉丁字符的域名,这些字符与拉丁字母看起来几乎一样,从而制造出足以乱真的热门网站仿冒品。
另一种常见的技术是RTL覆盖漏洞利用,即通过在文件名或URL中嵌入特殊的Unicode字符来反转文本方向。
这可能会使恶意可执行文件看起来像无害的文档,诱骗用户运行它。
这些早期的攻击展示了文本渲染中的细微缺陷如何被用于恶意目的,为诸如BiDi Swap等更先进的技术铺平了道路,这些技术滥用了浏览器显示网址的基本逻辑。
双向交换攻击的工作原理
网页浏览器依靠 Unicode 双向(BiDi)算法来正确显示既包含英语等从左到右书写的文字,又包含阿拉伯语或希伯来语等从右到左书写的文字的文本。
然而,Varonis威胁实验室的研究表明,该算法在处理跨子域和参数混合脚本的URL时存在一个关键弱点。
攻击者可以通过精心构造一个URL来利用这一点,该URL包含一个看起来合法的左到右(LTR)子域名(例如,paypal.com),后面跟着一个不常见的右到左(RTL)域名。
由于浏览器存在渲染缺陷,合法的子域名在地址栏中被显示为主域名,从视觉上掩盖了真实的恶意目标。
这会让用户产生困惑,他们以为自己在一个可信的网站上,而实际上他们的浏览器正在导航到一个由攻击者控制的服务器,这使他们容易遭受钓鱼攻击和数据盗窃。
浏览器开发者对这一长期存在的问题的回应一直不一致。谷歌浏览器提供了“相似URL”建议功能,但它只标记有限数量的知名域名,使得许多其他域名处于无保护状态。
Mozilla Firefox采用了一种更好的方法,在地址栏中以视觉方式突出显示域名的核心部分,这有助于用户更轻松地识别潜在的仿冒网站。
虽然微软已将其Edge浏览器中的该问题标记为已解决,但研究人员指出,URL表示方式中存在的潜在漏洞依然存在。
为了确保安全,用户应养成怀疑的习惯。点击链接前,务必将鼠标悬停在链接上查看其真实目的地,仔细验证网站的SSL证书,并警惕任何混合了不同语言文字或格式异常的网址。
最终,增强用户意识和改进浏览器级别的防御措施对于消除这种欺骗性威胁至关重要。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
