Výzkumníci z Soluble nový způsob registrace domén , vzhledově podobná jiným doménám, ale ve skutečnosti se liší díky přítomnosti znaků s jiným významem. Podobné internacionalizované domény () se na první pohled nemusí lišit od domén známých společností a služeb, což umožňuje jejich využití pro phishing, včetně získání správných TLS certifikátů pro ně.
Klasická substituce prostřednictvím zdánlivě podobné domény IDN je v prohlížečích a registrátorech již dlouho blokována, a to díky zákazu míchání znaků z různých abeced. Například fiktivní doménu apple.com („xn--pple-43d.com“) nelze vytvořit nahrazením latinského „a“ (U+0061) azbukou „a“ (U+0430), protože písmena v doméně jsou smíchána z různých abeced není povoleno. V roce 2017 došlo způsob, jak obejít takovou ochranu použitím pouze znaků unicode v doméně, bez použití latinské abecedy (například pomocí jazykových symbolů se znaky podobnými latince).
Nyní byl nalezen další způsob, jak ochranu obejít, založený na skutečnosti, že registrátoři blokují míchání latinky a Unicode, ale pokud znaky Unicode uvedené v doméně patří do skupiny znaků latinky, je takové míchání povoleno, protože znaky patří do stejnou abecedu. Problém je v tom rozšíření existují homoglyfy podobné písmem jako jiné znaky latinské abecedy:
symbol"" se podobá "a", "" - "g", "“ – „l“.
Možnost registrace domén, ve kterých se latinská abeceda mísí se zadanými znaky Unicode, byla identifikována registrátorem Verisign (jiní registrátoři nebyli testováni), subdomény byly vytvořeny ve službách Amazon, Google, Wasabi a DigitalOcean. Problém byl objeven v listopadu loňského roku a i přes zaslaná upozornění byl o tři měsíce později na poslední chvíli opraven pouze v Amazonu a Verisignu.
Během experimentu výzkumníci utratili 400 dolarů za registraci následujících domén u Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Výzkumníci také zahájili pro kontrolu vašich domén pro možné alternativy s homoglyfy, včetně kontroly již registrovaných domén a certifikátů TLS s podobnými názvy. U HTTPS certifikátů bylo přes protokoly Certificate Transparency zkontrolováno 300 domén s homoglyfy, z toho u 15 bylo zaznamenáno vygenerování certifikátů.
Současné prohlížeče Chrome a Firefox zobrazují takové domény v adresním řádku v zápisu s předponou „xn--“, avšak v odkazech se domény zobrazují bez konverze, kterou lze použít k vkládání škodlivých zdrojů nebo odkazů na stránky pod maskou. jejich stahování z legitimních stránek. Například na jedné z identifikovaných domén s homoglyfy byla zaznamenána distribuce škodlivé verze knihovny jQuery.
Zdroj: opennet.ru