Gmail: Google rollt Update zum Schutz vor homographischen Angriffen aus

Erst letzte Woche hatte Google ein Update für Gmail veröffentlicht, welches nicht-lateinische Schriftzeichen in E-Mail Adressen und den zugehörigen Domainnamen erlaubt. Heute wurde nun ein zusätzliches Update ausgerollt, welches die Nutzer vor dadurch möglichen Spoofing-Angriffen, auch homographischer Angriff genannt, schützen soll.

confusables 3

Um den obigen Fremdwörter-Salat für die weniger IT-affinen unter euch aufzuklären: Es geht im Wesentlichen um die Tatsache, dass in verschiedenen Sprachen Zeichen existieren, die den gängigen lateinischen Charakteren sehr ähnlich sehen und daher rein optisch leicht verwechselt werden können. Da Google nun mit dem Update letzter Woche eben diese Zeichen in E-Mail Adressen erlaubt hat, besteht die Gefahr, dass potentielle Angreifer die Verwechselbarkeit dieser Zeichen ausnutzen. So wäre es möglich, dass ein Angreifer die Domain google.com registriert, wobei die beiden ‚o’s im Namen jedoch einem anderen Zeichensatz bzw. einer anderen Sprache entstammen. Für den Nutzer wäre das kaum ersichtlich und würde er nun eine E-Mail von dieser Domain erhalten, bestünde Verwechslungsgefahr mit der offiziellen Domain von Google. Phishing-Attacken würden durch eine derartige Domain massiv an Authentizität gewinnen.

Um einen solchen Missbrauch des erweiterten Zeichensatzes zu unterbinden, hat Google daher einen offenen Standard des Unicode Konsortiums umgesetzt, der bestimmte Zeichenkombinationen für Domains unterbindet. Damit sind sowohl Zeichen eines einzelnen Zeichensatzes (z.B. Latein), als auch Kombinationen einer definierten Auswahl von Zeichensätzen erlaubt, die im Standard als ‚Highly Restrictive‘ kategorisiert wurden und nur geringe Verwechslungsgefahr bieten sollen.

Nichts desto trotz sollte einem als Anwender bewusst sein, dass solcherlei Angriffe existieren und bei e-Mails mit sensiblen Inhalten, lieber zweimal einen Blick auf den Absender werfen, bevor man Links oder Anhänge öffnet.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

11 Kommentare

  1. Genau deshalb wäre es besser gewesen diesem Mist ganz zu lassen.
    Na wenigstens macht sich jemand schon vorher Gedanken dazu.

  2. Email ist imho sowieso kein zuverlässiges Kommunikationsmittel. Jeder der es wirklich will kann jede email mit jedem beliebigen Absender verschicken. Da wäre mal ein neuer Standard fällig.

  3. svenp: Zustimmung!!!
    Ich finde es auch total bekloppt. Alle Welt kann über die 127 Ascii Zeichen oder meinetwegen auch Base64 gut kommunizieren. Wer keine Probleme hat, macht sich welche –_–

  4. Paul Peter says:

    @brater/@svenp: nur weil wir in der deutschen Sprache/Schrift zufällig auch die lateinischen Zeichen verwenden möchtet ihr große Teile der Weltbevölkerung ihre Schriftzeichen vorenthalten? Ich erinnere nur mal an folgende Sprachen/Schriften: Griechisch, kyrillisch (Russland, Ukraine, Bulgarien usw.), asiatische Schriften (China, Japan, Korea usw.), arabisch (Irak, Iran, Ägypten usw.).
    Und auch wir in Deutschland sind froh, dass öäüß in Domains möglich sind.

    Problem ist an dem Ganzen: wir „Westler“ denken, dass die Erde eine Scheibe ist und die Sonne sich um uns dreht. Und somit die Zeichensatzvielfalt gerne vergessen und die notwendigen Sicherheitsmaßnahmen nicht in Betracht ziehen.

    Ein längst überfälliger Schritt, den Google da gegangen ist.

    P.S. Soweit ich mich erinnere warnen Browser, wenn verschiedene Zeichensätze in einer Url vorkommen.

  5. @Paul Peter
    Da triffste zu einem großen Teil meinen Nerv. Leider ticken 60-70% der Leute so oder ähnlich. Aber nicht nur hier, überall auf der Welt. Hauptsache ICH, gehört HIER nicht her, was soll DASS usw.

  6. @Paul Peter: ich bin NICHT froh über äüöß – es reicht schon mal den Rechner oder das Tastaturlayout zu wechseln und plötzlich fehlen diese Sonderzeichen. In einem deutschen Text: in Ordnung. Im Internet mit vielen internationalen Teilnehmern: fehl am Platz.
    @Paul Peter/Matze: Thema Erde, Scheibe, Egoismus und so: leider Gottes wurde ein Großteil der Software durch Länder vorrangetrieben, die einen lateinischen Schriftsatz verwenden: Programmiersprachen, Software, Internet. Ich würde mich wundern, wenn in 2 Wochen jemand auf die Idee käme, auch noch C++ in Mandarin anzubieten. Außerdem gibt es auch Transkriptionstabellen, um beispielsweise asiatische Sprachen mit lateinischen Lettern abzubilden – für einen ganzen Text würde ich niemanden dazu zwingen wollen; für eine Mail-Adresse oder eine URL aber vielleicht gnaz sinnvoll. Wie toll fändet ihr es, eine chinesische URL einzugeben? Da will ich euch mal die Finger an der Tastatur oder auf dem Touchscreen abbrechen sehen. Wie soll ein Asiate oder Ami ein ß eingeben? Bevor der das tut, wird er die Website nicht besuchen 😛 Alle schreien immer von Globalisierung aber keiner denkt drüber nach, dass man dazu auch gewisse Harmonisierung braucht. Schaut euch mal den benachbarten Beitrag zum Thema USB an.

  7. Von mir aus brauche ich auch keine umlaute ich kann darauf gern verzichten.

    Ich hatte einen Arbeitskollegen der einfach Jahre in Japan gelebt und auch deren Sprache und Schrift gelernt.
    Ich habe ihn immer mal dabei zugehen das er E-Mails auf japanisch verfasst hat.
    Komisch ist das er sich nie darüber beschwert hat das er die Email Adressen nicht in japanischen Schriftzeichen verfassen konnte.

    Ich halte meine Sprache für nichts besseres aber wenn wir weiter zusammen wachsen wollen werden wir das nur mit einem gemeinsamen Nenner machen können.

    Irgendwie ist nunmal englisch die Sprache des Internet und mit dieser Sprache kommt man derzeit weltweit am weitesten.
    Alle internationalen Projekte sind in englisch.
    Warum also dieser Mist mit diesen unmöglichen Zeichensätzen?

    Die Umlaut Domänen haben doch schon genug Verwirrung angerichtet und machen noch heute genug Ärger.

    Den einzigen nutzen werden Betrüger dadurch haben.

  8. Also soetws wie MYMAlL@G00GLE.COM soll dann schlechter gehen, ja?

    Wobei MYMAIL und MYMAlL ja wirklich gleich aussieht (aber anders geschrieben ist, gemerkt?)

  9. Nachtrag: Lustig, im Kommentar-verfassen-Fenster ist „MYMAIL und MYMAlL“ nicht zu unterscheiden, als geposteter Kommentar ändert sich die Schriftart und man sieht es .. einfach mal in das Feld kopieren 🙂

  10. That brings us to quite possibly the most intriguing match-up to that
    point of the season when Oregon comes to Rice-Eccles.
    Alabama will try to rebound from their loss to the Sooners and rank fourth in the Sporting News college
    football preseason rankings. So besides the fact that both sports are being played with 11
    players on the field, the similarity ends here.