Phishing s unicode doménami

V prohlížečích Chrome a Firefox byla nalezena chyba, umožňující vytvořit phishingovou stránku, kterou lze jen velmi těžko identifikovat jako závadnou. Chyba spočívá v implementaci ochrany proti dávno známému útoku homograph attack. Čínský bezpečnostní expert Xudong Zheng zjistil, že ochrana proti tomuto útoku je aktívní pouze v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků. Například stránka https://www.еріс.com/, která vznikla za účelem demonstrování této zranitelnosti, má ve skutečnosti vystaven certifikát na doménové jméno www.xn--e1awd7f.com. Pokud však uživatel neprovede kontrolu certifikátu, je pro něj doménové jméno na první pohled stejné, jako originální adresa https://www.epic.com/. Chyba bude opravena ve verzi Chrome 59, pro Firefox doporučuje Xudong Zheng přes nastavení about:config nastavit network.IDN_show_punycode na hodnotu true. Systematickejší řešení tohoto problému zatím není.