IDN Spoofing (Punycode Homograf Angriff)

Kein Sicherheitsproblem von Firefox/Mozilla aber ein Designproblem der internationalen Domänennamen (mit mehr erlaubten Zeichen als 7-Bit ASCII) — Nota bene seit 2001 bekannt.

Bei den internationalen Domänennamen, so wie www.nestlé.ch (mit Akzent aigu) wurde ein Verfahren gesucht, bei welchen die DNS-Infrastruktur (Namensauflösung bspw. von namics.com zur IP-Adresse 193.141.193.209) nicht angepasst werden musste.

Die gewählte Lösung ist eine Codierung des Namens mit Sonderzeichen in einen Namen ohne Sonderzeichen. Um die zwei Arten zu trennen steht vor dem codierten Text der Präfix xn--. So wird aus www.jürg.com -> www.xn--jrg-hoa.com. Das Verfahren nennt sich Punycode und ist in RFC 3492 definiert.

Damit der Benutzer den hässlichen String www.xn--jrg-hoa.com nicht sieht, zeigt der Browser nur www.jürg.com an. Und nun die Sicherheit: Gewisse (unterschiedliche) Zeichen werden je nach Zeichensatz visuell identisch dargestellt. So beispielsweise das «a» in lateinischen Alphabeth und das kyrillische «a». So resultiert www.paypal.com und www.xn--pypal-4ve.com (mit kyrillsichen «a» d.h. den Unicode Zeichen #1072) optisch auf derselben Site. Hier das Beispiel für Firefox/Mozilla und IE mit Versign-Plugin etc.: www.paypal.com. Schade, dass dasselbe auch mit https tadellos funktioniert (das Zertifikat prüft auf den angezeigten Namen). Da das Problem bekannt war, empfahl ICANN die Registration von homografen Domänennamen nicht zuzulassen. Aber möglicherweise war der Umsatz bei den Verkäufern höher gewichtet 😉

Die erste Reaktion war — nach einer erneuten Publikation des Problems — den Ausbau der IDN-Funktionalität aus den Mozilla-Produkten (Bug ID 279099). Nach einer weiteren Diskussion soll die Unterstützung nun bleiben, doch die Information eines möglichen Angriffs (resp. der Punycode-Strong) soll angezeigt werden (Bug ID 282270). Natürlich gibt es schon eine Extension. Na ja, dann warten wir mal ab…