Theo Engadget, một kỹ thuật unicode tồn tại trong hàng thập kỷ qua đã khiến người dùng khó xác định liệu họ có truy cập vào đúng địa chỉ trang web mong muốn hay không.
Cụ thể, kẻ lừa đảo khai thác các lỗ hổng thông qua giải pháp có tên Punycode - một cách đại diện cho unicode trong bộ ký tự giới hạn của ASCII sử dụng cho các tên máy chủ trên internet. Ví dụ, München (tên tiếng Đức cho thành phố Munich) sẽ được mã hoá dưới dạng Mnchen-3ya.
Sử dụng Punycode, tên máy chủ chứa các ký tự unicode được chuyển mã thành tập con của ASCII bao gồm các chữ cái-chữ số. Đó là lý do tại sao kỹ sư phần mềm Google Xodung Zheng tiết lộ, khi người dùng truy cập vào trang www.xn--80ak6aa92e.com sẽ được đưa đến địa chỉ apple.com, nhưng không phải là trang web Apple thực sự.
Google khắc phục lỗ hổng "dễ lừa đảo" trên Chrome
Nguyên nhân là vì tiền tố xn-- sẽ thông báo với trình duyệt Chrome rằng tên miền sử dụng mã hóa tương thích ASCII. Nó cho phép các công ty và cá nhân từ quốc gia có bảng chữ cái phi truyền thống đăng ký một tên miền có chứa các ký tự AZ nhưng hiển thị bằng ngôn ngữ địa phương.
Vấn đề này lần đầu tiên được báo cáo cho Google và Mozilla vào ngày 20.1, và Google đã đưa ra bản sửa lỗi trong Chrome 59. Bản sửa lỗi hiện đang có trong phiên bản Canary (bản beta trước phát hành), nhưng gã khổng lồ tìm kiếm có thể sớm cung cấp phổ biến đến người dùng Chrome.
Mặt khác, Mozilla vẫn chưa quyết định liệu hãng có nên thực hiện bản vá dành riêng cho lỗi này hay không. Tuy nhiên người dùng Firefox có thể khắc phục lỗi bằng cách gõ lệnh about:config vào thanh địa chỉ và thay đổi thuộc tính network.IDN_show_punycode thành true. Điều đó cho phép Firefox hiển thị các tên miền quốc tế ở dạng Punycode, giúp mọi người dễ dàng phát hiện đó có phải là trang web giả mạo hay không.