Theo Engadget, một kỹ thuật unicode tồn tại trong hàng thập kỷ qua đã khiến người dùng khó xác định liệu họ có truy cập vào đúng địa chỉ trang web mong muốn hay không.
Cụ thể, kẻ lừa đảo khai thác các lỗ hổng thông qua giải pháp có tên Punycode - một cách đại diện cho unicode trong bộ ký tự giới hạn của ASCII sử dụng cho các tên máy chủ trên internet. Ví dụ, München (tên tiếng Đức cho thành phố Munich) sẽ được mã hoá dưới dạng Mnchen-3ya.
Sử dụng Punycode, tên máy chủ chứa các ký tự unicode được chuyển mã thành tập con của ASCII bao gồm các chữ cái-chữ số. Đó là lý do tại sao kỹ sư phần mềm Google Xodung Zheng tiết lộ, khi người dùng truy cập vào trang www.xn--80ak6aa92e.com sẽ được đưa đến địa chỉ apple.com, nhưng không phải là trang web Apple thực sự.
Chrome 59 dự kiến sẽ khắc phục hoàn toàn lỗi liên quan đến Punycode
|
Vấn đề này lần đầu tiên được báo cáo cho Google và Mozilla vào ngày 20.1, và Google đã đưa ra bản sửa lỗi trong Chrome 59. Bản sửa lỗi hiện đang có trong phiên bản Canary (bản beta trước phát hành), nhưng gã khổng lồ tìm kiếm có thể sớm cung cấp phổ biến đến người dùng Chrome.
Mặt khác, Mozilla vẫn chưa quyết định liệu hãng có nên thực hiện bản vá dành riêng cho lỗi này hay không. Tuy nhiên người dùng Firefox có thể khắc phục lỗi bằng cách gõ lệnh about:config vào thanh địa chỉ và thay đổi thuộc tính network.IDN_show_punycode thành true. Điều đó cho phép Firefox hiển thị các tên miền quốc tế ở dạng Punycode, giúp mọi người dễ dàng phát hiện đó có phải là trang web giả mạo hay không.
Bình luận (0)