Browsere lukker for trick med baglæns adresser

Artiklen blev oprindeligt publiceret den 18/8/2016

Flere browsere har kunnet narres til at vise en web-adresse forkert ved at udnytte muligheden for at skrive fra højre mod venstre. Det kan bruges til phishing-svindel.

Tricket går ud på at udforme en URL, der består af en IP-adresse efterfulgt af specialtegn, der får browseren til at skrive fra højre. Funktionen er beregnet til sprog, der skrives i den retning, som fx arabisk.

I en sårbar browser bliver URL'en http://182.176.65.7/%EF%B9%B0/http://google.com/test vist som http://google.com/test/182.176.65.7

På den måde kan svindlere narre deres ofre til at tro, at de er inde på et websted, de har tillid til.

Fejlen er rettet i Firefox 48 og Google Chrome 53.

Links

• Hacker wins $5,000 for Chrome, Firefox address bar spoofing flaw, artikel fra ZDNet
• Google Chrome, Firefox Address Bar Spoofing Vulnerability, blogindlæg af Rafay Baloch