Varonis威胁实验室团队发布了一份令人警醒的报告,揭示了现代浏览器在处理混合文本方向时存在的一个持续十年以上的漏洞。该漏洞名为“BiDi Swap”,允许攻击者构造看似合法的欺骗性URL,暗中将受害者重定向至其他网站。
核心问题在于浏览器对左到右(LTR,如英语)和右到左(RTL,如阿拉伯语)脚本的解析机制。Varonis指出:“通过利用浏览器处理RTL和LTR脚本的方式,攻击者可构造看似可信但实际指向恶意网站的URL。这种被称为BiDi Swap的方法常被用于钓鱼攻击。”
Unicode欺骗技术的历史与演变
该漏洞源于Unicode的双向(Bidi)算法——一项旨在正确渲染混合语言文本的标准。但Varonis解释:“尽管双向算法通常能较好地处理域名,但在子域名和URL参数上存在缺陷。这一漏洞导致LTR-RTL混合URL可能无法按预期显示,为恶意行为打开了方便之门。”
此类问题并非首次出现,历史上已有多种Unicode欺骗技术:
- Punycode同形异义字攻击:用近 identical 的西里尔字母或希腊字母替换拉丁字母(如“аpple.com ”冒充“apple.com ”);
- RTL覆盖漏洞:利用Unicode控制字符伪装恶意文件扩展名(如将“blafdp.exe ”显示为看似无害的“blaexe.pdf ”)。
这些案例均表明,文本处理的微小缺陷可能引发重大安全风险。
攻击示例:混合脚本伪造可信域名
攻击者可通过混合脚本模仿可信域名:
https://varonis.com.ו.קום/parameter
https://ורוניס.קום.ו.קום/乍看之下,这些伪造链接可能欺骗用户,使其误以为正在与合法网站交互。
浏览器厂商的修复现状
尽管该问题已存在十余年,浏览器厂商仍未提供全面修复方案:
- Chrome:“相似URL导航建议”功能提供部分保护,但测试显示仅标记特定域名(如“google.com ”),大量其他恶意URL仍可绕过检测;
- Firefox:通过在地址栏高亮显示域名关键部分,帮助用户识别可疑链接;
- Edge:微软团队虽将该问题标记为“已解决”,但URL显示逻辑未发生实质变化。
建议:用户警惕与厂商行动
Varonis强调,用户意识仍是关键:“务必验证可疑URL,尤其是混合脚本或显示异常模式的链接。”团队同时呼吁浏览器开发者加强域名高亮和相似URL检测功能,组织应持续开展链接安全意识培训。
发表评论
您还未登录,请先登录。
登录