这真的不是苹果官网？浏览器漏洞让冒牌网址太逼真！

由中国资安专家所揭露的最新浏览器漏洞，会导致用户透过 Chrome、Firefox、Opera 等浏览器上网时，很可能会报冒牌网站欺骗，原因是该漏洞允许浏览器显示难以区分真假的网址！

根据《The Hacker News》的报导，由中国资安专家 Xudong Zheng 所发现的这个漏洞，可以透过造假的网址，伪装成 苹果、谷歌的官方网站，藉此欺骗用户前往错误的网站。

该漏洞是由于字符集 Punycode 的特性所导致，也就是当 Punycode 把 Unicode 转换成 ASCII 显示时，会发生网址相同的状况。在范例中，尽管透过 Safari 浏览器查看该网站时，显示的网址是“www.xn--80ak6aa92e.com”，但藉由 Chrome 浏览器显示却会变成“www.apple.com”。

不过仔细看 Chrome 的网址，仍可以看到“apple”的字样有些不同。该报导指出，像是 Cyrillic 中的“а”和 Latin 字符中的“a”尽管不是相同字母，但仍会在浏览器中同样以“a”的形态显示，显示浏览器在字符转换上仍有需改善的地方。

由于这类漏洞可能会导致用户误信冒牌网站，提供个人隐私资讯，因此谷歌与 Mozilla 已经在 1 月时针对该漏洞进行修正开发，其中 Chrome 浏览器预计会在版本号 58 的浏览器中修正这个漏洞。

至于 Firefox 由于仍未确认修复时间，因此用户可以透过手动的方式避免该漏洞出现。首先在网址列输入“about:config”，接着在搜寻栏位输入“Punycode”找到“network.IDN_show_punycode”，点击两下让“False”状态变成“True”即可。