Người dùng Chrome và Firefox đang đối mặt với một lỗ hổng tồn tại trong thời gian dài, có thể tạo cơ hội cho kẻ gian thực hiện hành vi lừa đảo.
Theo Engadget, một kỹ thuật unicode tồn tại trong hàng thập kỷ qua đã khiến người dùng khó xác định liệu họ có truy cập vào đúng địa chỉ trang web mong muốn hay không.
Cụ thể, kẻ lừa đảo khai thác các lỗ hổng thông qua giải pháp có tên Punycode – một cách đại diện cho unicode trong bộ ký tự giới hạn của ASCII sử dụng cho các tên máy chủ trên internet. Ví dụ, München (tên tiếng Đức cho thành phố Munich) sẽ được mã hoá dưới dạng Mnchen-3ya.
Sử dụng Punycode, tên máy chủ chứa các ký tự unicode được chuyển mã thành tập con của ASCII bao gồm các chữ cái-chữ số. Đó là lý do tại sao kỹ sư phần mềm Google Xodung Zheng tiết lộ, khi người dùng truy cập vào trang http://ift.tt/2omHRww sẽ được đưa đến địa chỉ apple.com, nhưng không phải là trang web Apple thực sự.
Chrome 59 dự kiến sẽ khắc phục hoàn toàn lỗi liên quan đến PunycodeẢNH: THEHACKERNEWS
Nguyên nhân là vì tiền tố xn-- sẽ thông báo với trình duyệt Chrome rằng tên miền sử dụng mã hóa tương thích ASCII. Nó cho phép các công ty và cá nhân từ quốc gia có bảng chữ cái phi truyền thống đăng ký một tên miền có chứa các ký tự AZ nhưng hiển thị bằng ngôn ngữ địa phương.
Vấn đề này lần đầu tiên được báo cáo cho Google và Mozilla vào ngày 20.1, và Google đã đưa ra bản sửa lỗi trong Chrome 59. Bản sửa lỗi hiện đang có trong phiên bản Canary (bản beta trước phát hành), nhưng gã khổng lồ tìm kiếm có thể sớm cung cấp phổ biến đến người dùng Chrome.
Mặt khác, Mozilla vẫn chưa quyết định liệu hãng có nên thực hiện bản vá dành riêng cho lỗi này hay không. Tuy nhiên người dùng Firefox có thể khắc phục lỗi bằng cách gõ lệnh about:config vào thanh địa chỉ và thay đổi thuộc tính network.IDN_show_punycode thành true. Điều đó cho phép Firefox hiển thị các tên miền quốc tế ở dạng Punycode, giúp mọi người dễ dàng phát hiện đó có phải là trang web giả mạo hay không.
Thành Luân
Theo Thanhnien
