Risiko IDNs

Rückkehr der homographischen Attacke bei internationalisierten Domains

Die »homographische Attacke« ist zurück: wie mehrere Medien berichten, hat die verstärkte Implementierung internationalisierter Domain-Namen (IDNs) das Einfallstor für Phishing erneut offengelegt. Betroffen sind in erster Linie Nutzer, die mit Firefox oder Chrome im Internet surfen.

Die Einführung von IDNs und die Möglichkeit, Domain-Namen auch in nicht-lateinischen Zeichen registrieren zu können, zählt zu den wesentlichen Evolutionsstufen des Domain Name Systems, da so der Kreis der Nutzer wesentlich erweitert wird. Bereits vor 15 Jahren warnte das US-Unternehmen AT&T jedoch auch vor neuen Gefahren; bekannt geworden ist das Risiko unter der Bezeichnung »homographische Attacke«. Dabei werden Zeichen wie beispielsweise die Zahl »0« und der Buchstabe »O«, die bei einer Verwendung in Domains wie postbank.de auf den ersten Blick identisch erscheinen, technisch jedoch zu unterschiedlichen Internetangeboten verweisen können, missbraucht. Multipliziert wird dieses Risiko durch eine Ausweitung von IDNs auf die Zeichensätze zahlreicher verschiedener Sprachen wie griechisches Alphabet, aber auch asiatische Sprachen wie Chinesisch, Japanisch und Koreanisch. Bereits im März 2005 zeigte sich ICANN besorgt über diese Schwachstelle, ohne jedoch ein Mittel parat zu haben, um dem Unwesen ein Ende zu setzen.

Nachdem es jahrelang vergleichsweise still war, haben die Blogger von wordfence.com jetzt jedoch erneut die Schwachstelle offengelegt. Zu diesem Zweck registrierten sie eine Domain, die sich als epic.com liest, jedoch aus nicht-lateinischen Unicode-Zeichen zusammengesetzt war und tatsächlich auf die Punycode-Domain www.xn--e1awd7f.com verwies. Parallel klonten sie die Website von epic.com, die zu einem US-amerikanischen Software-Hersteller zur Verwaltung von Patientendaten führt. Sodann wandten sie sich per eMail an potentielle Nutzer und versuchten, diese auf ihren Website-Klon zu verleiten, um sich dort mit den persönlichen Daten einzuloggen; es gelang ihnen sogar, ein SSL-Zertifikat zu erhalten. Betroffen waren die Browser Chrome in der Version 57.0.2987 und Firefox in der Version 52.0.2; sowohl der Internet Explorer als auch Safari waren dagegen immun gegen die »homographische Attacke«. Ob und inwieweit Cyberkriminelle diese Schwachstelle heutzutage noch nutzen, kann man bestenfalls spekulieren; ICANN scheint jedenfalls auch nach über einem Jahrzehnt noch keine Lösung gefunden zu haben.

Für alle Nutzer von Firefox hält Wordfence eine Erste-Hilfe-Lösung parat: wer »about:config« (ohne Anführungszeichen) in seine Adresszeile eingibt und nach »punycode« sucht, kann den Parameter »network.IDN_show_punycode« von »false« auf »true« ändern; dann wird die IDN in der Punycode-Variante mit vorangestelltem »xn--« angezeigt. Alle Chrome-Nutzer müssen sich dagegen gedulden: erst Chrome 58, der voraussichtlich am 25. April 2017 veröffentlicht wird, soll die Lücke schliessen.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Top