Unicode漏洞“BiDi Swap”十年未修复,仍被用于实施网址欺骗
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Varonis报告指出,现代浏览器存在BiDi Swap漏洞,允许攻击者伪造网址进行钓鱼攻击。该漏洞源于双向文本处理算法的局限性,导致混合文字的网址可能误导用户。尽管已知十年,浏览器厂商仍未提供全面修复,用户需提高警惕,验证可疑链接。
🎯
关键要点
- Varonis报告揭露现代浏览器存在BiDi Swap漏洞,允许攻击者伪造网址进行钓鱼攻击。
- 该漏洞源于双向文本处理算法的局限性,导致混合文字的网址可能误导用户。
- 攻击者利用浏览器处理RTL和LTR文字的特性,构造看似可信的欺诈性网址。
- 漏洞延续了Unicode欺骗技术的历史,包括Punycode同形字攻击和RTL覆盖利用。
- Bidi算法在子域名和URL参数方面存在缺陷,可能导致混合LTR-RTL的网址显示异常。
- 尽管该问题已知存在超过十年,浏览器厂商仍未提供全面修复方案。
- 用户需提高警惕,验证可疑网址,特别是那些混合文字或显示异常的链接。
- 呼吁浏览器开发者加强域名高亮和相似性检测功能,建议企业开展链接安全教育培训。
➡️
