Beletört a böngészők bicskája az arab világba

Számos népszerű webböngészőnek gyűlt meg a baja az arab írásmóddal, ami miatt a felhasználók megtévesztése könnyűvé vált.
 

Az arab szövegeket az európaitól eltérően jobbról balra írják, amit egyebek mellett a legnépszerűbb webböngészők is képesek kezelni. Csakhogy nem mindig olyan módon teszik mindezt, ahogy azt elvárnánk, és olyan helyzetekben is alkalmazzák a fordított írásmódot, amikor arra semmi szükség nem lenne. Erre jött rá a pakisztáni Rafay Baloch biztonsági kutató, aki meglátta a rendellenes működésben rejlő biztonsági kockázatokat.
 
Baloch olyan URL-ekkel kezdett kísérletezni, amelyek arab karaktereket vagy azok kódolt változatát tartalmazták. Ekkor azt vette észre, hogy a webböngészők a webcímet megfordították, és nem a megtekintett weboldalhoz tartozó címet jelenítették meg a címsorban. A szakember a felfedezését a következő URL-lel szemléltette:  
Amikor ezt beírta a Chrome androidos verziójába, akkor a böngésző úgy jelentette meg az URL-t, mintha az a google.com alatt működő egyik weblaphoz tartozna. A valóságban azonban az URL-ben szereplő IP-címmel rendelkező kiszolgálóról töltődött le az oldal.  
A sebezhetőség a Google Chrome mellett biztosan érinti a Firefox Android kompatibilis kiadását, illetve egyéb - nemcsak mobil - böngészőket is. A Chrome esetében a trükk akkor működik, amikor az URL IP-címet is tartalmaz, de a Firefox esetében erre sincs szükség. Mindössze ez arab karakter megléte szükséges a hiba kihasználásához.
 
Mint kiderült, a Google már több mint egy éve tud a problémáról, de ennek ellenére 3000 dollárral jutalmazta a kutatót a hibabejentésért. A Mozilla pedig 1000 dolláros díjat adott a szakembernek a sebezhetőség feltárásáért. Baloch elárulta, hogy még egy 1000 dolláros jutalmat is kapott, de azt egyelőre nem kívánta nyilvánosságra hozni, hogy melyik böngésző kapcsán jutott hozzá a harmadik elismeréshez.
 
A Google és a Mozilla az érintett webböngészőik esetében már befoltozták a biztonsági rést.