Post by Erik van Straten

315d

Durov gepakt, Cloudflare niet (en IDN's)

Onderaan https://security.nl/posting/859616 schreef ik (hieronder heb ik de Belgische domeinnaam "onschadelijk" gemaakt door er spaties in op te nemen):
«
Pavel Durov wordt gearresteerd omdat hij criminelen anonimiteit biedt, maar big tech (Cloudflare, Google, Let's Encrypt etc.) komen daar massaal mee weg.

Eén voorbeeld (Cloudflare proxy, Cloudflare cert):
https:// www. lîdl. be/login
(nog steeds live, zie ook https://infosec.exchange/@ErikvanStraten/113110017627459641).
»

Iets heel anders: eens kijken hoe door mij onder Android en iOS gebruikte wachtwoordmanagers op IDN's (*) reageren, zie de screenshots hieronder (merk op dat de î in lîdl met een dakje geschreven is).

(*) IDN = International Domain Name. Deze maken gebruik van Unicode fonts (lettertypes) maar zijn uitsluitend bedoeld om te *tonen*. Op internet worden uitsluitende ASCII domeinnamen ondersteund. Om toch IDN's te kunnen tonen, worden de echte domeinnamen gecodeerd in iets dat met "xn--" begint, zogenaamde Punycode.

a) Linksboven: Android Autofill en/of KeePassDX laat de Punycode van de domeinnaam zien na het drukken in één van de invoervelden.

b) Rechtsboven: iOS geeft niks prijs met ingestelde Autofill voor zowel KeePassium en iCloud Keychain.

c) Linksonder: iCloud Keychain nadat ik daar een wachtwoord voor
"https:// www .lîdl .be"
heb toegevoegd (zonder die spaties er in). Eerder had ik al een wachtwoord voor
"https:// www .lidl .be"
toegevoegd als test om te kijken of iCloud Keychain *dat* wachtwoord zou voorstellen, maar dat gebeurde gelukkig niet.

d) Rechtsonder: iPhone na het verversen van de pagina en het drukken in één van de invoervelden (bekende kwetsbaarheid: bij bepaalde instellingen worden iCloud Keychain wachtwoorden (en soms zelfs passkeys) *zonder* lokale authenticatie vrijgegeven, zie ook https://infosec.exchange/@ErikvanStraten/112475265109490182).

Edited 16:22: plaatje vervangen omdat er info in te zien was van welliswaar een testaccount, maar ik krijg al genoeg spam.

#Wachtwoordmanagers #AutoFill #Punycode #Unicode #iOS #iPadOS #Kwetsbaarheden #iPhone #iPad #Android #KeePassDX #KeePassium #iCloudKeychain #Cybercriminaliteit #Anonimiteit #Telegram #PavelDurov #Phishing #BigTech #Cloudflare #NepVanEchtKunnenOnderscheiden #EchtVanNepKunnenOnderscheiden