Investigadores de Soluble una nueva forma de registrar dominios con , similar en apariencia a otros dominios, pero en realidad diferente debido a la presencia de caracteres con un significado diferente. Dominios internacionalizados similares () a primera vista pueden no diferir de los dominios de empresas y servicios conocidos, lo que permite su uso para phishing, incluida la obtención de certificados TLS correctos para ellos.
La sustitución clásica a través de un dominio IDN aparentemente similar lleva mucho tiempo bloqueada en navegadores y registradores, gracias a la prohibición de mezclar caracteres de diferentes alfabetos. Por ejemplo, no se puede crear un dominio ficticio apple.com (“xn--pple-43d.com”) reemplazando la “a” latina (U+0061) con la “a” cirílica (U+0430), ya que No se permite mezclar letras en el dominio de diferentes alfabetos. En 2017 hubo una forma de evitar dicha protección usando solo caracteres Unicode en el dominio, sin usar el alfabeto latino (por ejemplo, usando símbolos de idioma con caracteres similares al latín).
Ahora se ha encontrado otro método para eludir la protección, basado en el hecho de que los registradores bloquean la mezcla de latín y Unicode, pero si los caracteres Unicode especificados en el dominio pertenecen a un grupo de caracteres latinos, dicha mezcla está permitida, ya que los caracteres pertenecen a el mismo alfabeto. El problema es que en la extensión existen homoglifos similares en escritura a otros caracteres del alfabeto latino:
símbolo ""se parece a "a", "" - "g", "" - "yo".
El registrador Verisign identificó la posibilidad de registrar dominios en los que el alfabeto latino se mezcla con caracteres Unicode específicos (otros registradores no fueron probados) y se crearon subdominios en los servicios de Amazon, Google, Wasabi y DigitalOcean. El problema fue descubierto en noviembre del año pasado y, a pesar de las notificaciones enviadas, tres meses después se solucionó en el último momento sólo en Amazon y Verisign.
Durante el experimento, los investigadores gastaron $400 para registrar los siguientes dominios con Verisign:
- amɑzon.com
- chase.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebay.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- android.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Los investigadores también lanzaron para verificar sus dominios en busca de posibles alternativas con homoglifos, incluida la verificación de dominios ya registrados y certificados TLS con nombres similares. En cuanto a los certificados HTTPS, a través de los registros de Transparencia de Certificados se verificaron 300 dominios con homoglifos, de los cuales 15 registraron la generación de certificados.
Los navegadores Chrome y Firefox actuales muestran dichos dominios en la barra de direcciones en la notación con el prefijo "xn--", sin embargo, en los enlaces los dominios aparecen sin conversión, lo que puede usarse para insertar recursos maliciosos o enlaces en páginas, bajo la apariencia de de descargarlos de sitios legítimos. Por ejemplo, en uno de los dominios identificados con homoglifos se registró la distribución de una versión maliciosa de la biblioteca jQuery.
Fuente: opennet.ru