Original-URL des Artikels: https://www.golem.de/0502/36131.html    Veröffentlicht: 07.02.2005 11:27    Kurz-URL: https://glm.io/36131

Neuer Phishing-Angriff in vielen Web-Browsern möglich

Fehler in der Implementierung der International Domain Names (IDN)

Die in mehreren Browsern enthaltene Unterstützung der International Domain Names (IDN) enthält einen Fehler, worüber Phishing-Attacken vorgenommen werden können. Von dem Sicherheitsproblem sind alle Web-Browser betroffen, die Umlaut-Domains verarbeiten. Da dies Microsofts Internet Explorer auch knapp ein Jahr nach der Einführung der Umlaut-Domains nicht beherrscht, ist der Browser in der Standardausführung nicht davon betroffen.

Wie die Shmoo-Group nach eigener Aussage bereits vor langer Zeit herausgefunden hat, weist die Implementierung der International Domain Names (IDN) einen Fehler auf, der einem Angreifer Phishing-Attacken eröffnet. Darüber lassen sich sowohl Link-Angaben als auch die URL in der Adresszeile erfolgreich fälschen, so dass ein Opfer annimmt, Daten an eine vertrauenswürdige Instanz zu übermitteln und so etwa vertrauliche Daten in die Hände von Betrügern gibt.

Zur Demonstration des Fehlers steht ein Beispiel-Exploit bereit, das den Web-Browser vermeintlich auf die Seite von paypal.com leitet. Die betreffende URL lautet aber nicht http://www.paypal.com, sondern http://www.pаypal.com, was so in der betreffenden HTML-Seite steht, von umlautfähigen Browsern aber als www.paypal.com angezeigt wird. Ein Opfer wird so leicht in den Glauben versetzt, eine Seite von paypal.com aufzurufen, weil es keine sichtbaren Hinweise auf eine manipulierte Adressangabe gibt.

Der Fehler wurde für die Web-Browser Mozilla 1.6, Firefox 1.0, Camino 0.8.5, Safari 1.2.5, Opera 7.54, Omniweb 5 und Konqueror 3.2.2 bestätigt. Zudem dürfte das Problem auch in neueren Versionen der Browser enthalten sein. Auch Verisigns Umlaut-Domain-Erweiterung für den Internet Explorer weist das Problem auf. Die betreffenden Hersteller wurden am 19. Januar 2005 darüber informiert und nun wurde auch die Öffentlichkeit unterrichtet.

Während es vom Mozilla-Team heißt, man arbeite an einer langfristigen Lösung des Problems, sieht Opera keinen Handlungsbedarf, weil die Umlaut-Domain-Unterstützung korrekt in den Browser implementiert sei. Sowohl Apple als auch Verisign haben bislang nach Angaben der Shmoo-Group nicht auf die Erkenntnisse reagiert. Für Mozilla-basierte Browser existiert ein Workaround, der die IDN-Unterstützung komplett deaktiviert und keine Umlaut-Domains mehr verarbeitet. In der Konfigurationsdatei der Mozilla-basierten Browser muss dazu der Eintrag "network.enableIDN" auf "false" gestellt werden.

Weder für Opera noch für Safari sind derzeit Workarounds bekannt, aber man kann sich vor derartigen Attacken schützen, indem man Seiten wie Paypal, Online-Shops oder Bankseiten nur nach manueller URL-Eingabe oder Aufruf des betreffenden Lesezeichens besucht, was generell eine Abhilfe vor Phishing-Attacken bringt. Zudem lässt sich dieses Angriffsszenario aufdecken, indem man die in der HTML-Seite genannte Paypal-Adresse in einen Texteditor kopiert oder sich die betreffende Webseite in der Quelltext-Ansicht des Web-Browsers anzeigt. Bei Aufruf einer SSL-verschlüsselten Webseite genügt ein Blick in das SSL-Zertifikat, um einen Angriff ebenfalls zu erkennen.

Wer bislang Verisigns Plug-In für den Internet Explorer nicht installiert hat, ist mit Microsofts Browser nicht von dem Problem betroffen, weil Redmond auch fast ein Jahr nach der Einführung von Umlaut-Domains diese immer noch nicht unterstützt. Auch das Service Pack 2 für Windows XP ändert an dieser Situation nichts, weil auch diese Version vom Internet Explorer von sich aus keine Umlaut-Domains verarbeiten kann. Wer allerdings das kostenlose Plug-In von Verisign installiert hat, um auch mit dem Internet Explorer Umlaut-Domains verarbeiten zu können, ist gleichfalls von dem Fehler betroffen.  (ip)


Verwandte Artikel:
Internet Explorer mag immer noch keine Umlaut-Domains   
(09.03.2004, https://glm.io/30151 )

Links zum Artikel:
The Shmoo Group (.com): http://www.shmoo.com

© 1997–2018 Golem.de, https://www.golem.de/