Soluble'i teadlased uus viis domeenide registreerimiseks , mis on välimuselt sarnane teistele domeenidele, kuid tegelikult erinev erineva tähendusega tegelaste olemasolu tõttu. Sarnased rahvusvahelistunud domeenid () ei pruugi esmapilgul erineda tuntud ettevõtete ja teenuste domeenidest, mis võimaldab neid kasutada andmepüügiks, sh hankida neile õiged TLS-sertifikaadid.
Klassikaline asendamine näiliselt sarnase IDN-domeeni kaudu on brauserites ja registripidajates pikka aega blokeeritud tänu keelule segada eri tähestike tähemärke. Näiteks ei saa luua näivat domeeni apple.com (“xn--pple-43d.com”), asendades ladina tähe “a” (U+0061) kirillitsaga “a” (U+0430), kuna domeenis olevad tähed on segatud erinevatest tähestikest, ei ole lubatud. 2017. aastal oli viis sellisest kaitsest mööda hiilida, kasutades domeenis ainult Unicode'i tähemärke, ilma ladina tähestikku kasutamata (näiteks kasutades keelesümboleid ladina tähega sarnaste tähemärkidega).
Nüüd on leitud veel üks kaitsest möödahiilimise meetod, mis põhineb asjaolul, et registripidajad blokeerivad ladina ja unicode'i segamise, kuid kui domeenis määratud Unicode'i märgid kuuluvad ladina tähemärkide rühma, on selline segamine lubatud, kuna märgid kuuluvad sama tähestik. Probleem on selles, et laienduses on homoglüüfe, mis on kirjalikult sarnased teiste ladina tähestiku tähtedega:
sümbol"" meenutab "a", "" - "g", "" - "l".
Registripidaja Verisign tuvastas domeenide registreerimise võimaluse, milles ladina tähestik on segatud määratud Unicode'i tähemärkidega (teisi registripidajaid ei testitud) ning alamdomeenid loodi Amazoni, Google'i, Wasabi ja DigitalOceani teenustes. Probleem avastati eelmise aasta novembris ning vaatamata saadetud teadetele parandati see kolm kuud hiljem viimasel hetkel vaid Amazonis ja Verisignis.
Katse ajal kulutasid teadlased 400 dollarit, et registreerida Verisignis järgmised domeenid:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Teadlased käivitasid ka et kontrollida oma domeenidel homoglüüfide abil võimalikke alternatiive, sealhulgas kontrollida juba registreeritud domeene ja sarnaste nimedega TLS-sertifikaate. HTTPS-sertifikaatide osas kontrolliti sertifikaatide läbipaistvuse logide kaudu 300 homoglüüfidega domeeni, millest 15 puhul registreeriti sertifikaatide genereerimine.
Praegused brauserid Chrome ja Firefox kuvavad selliseid domeene aadressiribal eesliitega “xn--”, kuid linkides ilmuvad domeenid ilma teisendamata, mille abil saab varjus pahatahtlikke ressursse või linke lehtedele lisada. allalaadimiseks seaduslikelt saitidelt. Näiteks ühel tuvastatud homoglüüfidega domeenil registreeriti jQuery teegi pahatahtliku variandi levik.
Allikas: opennet.ru