Måden, hvorpå internettets adressesystem håndterer bogstaver, der ikke optræder på et engelsk tastatur, gør det muligt at lave tilsyneladende legitime snydedomæner med navne som Apple.com og Epic.com.
Til trods for, at fejlen blev opdaget for 12 år siden, skriver The Register.
Hvis du klikker på de ovenstående links, vil du formentlig se, hvad der i adressebaren ligner legitime sider for de to it-kæmper. I virkeligheden hedder domænerne xn--80ak6aa92e.com and xn--e1awd7f.com.
Angrebet kaldes et homograph-angreb, og det er muligt at lave, fordi internettets adressesystem kun er designet til at håndtere engelske bogstaver.
Da andre lande - med andre alfabeter - begyndte at bruge internettet, tildelte ingeniører ASCII-baseret kode til de forskellige symboler.
Men på flere af de ikke-engelske sprog er der bogstaver og tegn, der er så godt som identiske med a, B, p m.fl. Så ved at blande kodede tegn fra f.eks. kyrillisk med almindelige bogstaver kan man lave en side med domænet Apple.com - uden Apples blå stempel.
Allerede i 2015 advarede internetadministratoren ICANN mod angrebet og opfordrede til, at der blev udviklet tekniske modsvar. Det er så tilsyneladende kun sket i et begrænset omfang.
12 år senere er Chrome 57 og Firefox 52 stadig sårbare, mens Safari og Internet Explorer skulle håndtere problemet.
Funktionen, der oversætter navne til engelske bogstaver, kaldes IDN - Internationalized domain names - og er tilsyneladende slået til som standard i de fleste browsere.
De ovenstående snydedomæner starter med 'xn'. Dette fortæller browseren, at domænet bruge kodede repræsentationer af Unicode-karaktere. Når det falske domæne er på plads, kan den originale side klones for at skabe en ideel platform for phishing, bemærker sikkerhedsselskabet Wordfence.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
