Investigadores de Soluble unha nova forma de rexistrar dominios , similar en aparencia a outros dominios, pero en realidade diferente pola presenza de personaxes cun significado diferente. Dominios internacionalizados similares () a primeira vista pode non diferir dos dominios de empresas e servizos coñecidos, o que permite que se utilicen para phishing, incluíndo a obtención de certificados TLS correctos para eles.
A substitución clásica a través dun dominio IDN aparentemente similar estivo bloqueada durante moito tempo nos navegadores e rexistradores, grazas á prohibición de mesturar caracteres de diferentes alfabetos. Por exemplo, un dominio ficticio apple.com (“xn--pple-43d.com”) non se pode crear substituíndo a “a” latina (U+0061) pola “a” cirílica (U+0430), xa que o non se permiten letras do dominio mesturadas de diferentes alfabetos. En 2017 houbo unha forma de evitar esa protección empregando só caracteres Unicode no dominio, sen utilizar o alfabeto latino (por exemplo, utilizando símbolos lingüísticos con caracteres similares ao latín).
Agora atopouse outro método para evitar a protección, baseado no feito de que os rexistradores bloquean a mestura de latin e Unicode, pero se os caracteres Unicode especificados no dominio pertencen a un grupo de caracteres latinos, esta mestura está permitida, xa que os caracteres pertencen a o mesmo alfabeto. O problema é que na extensión hai homoglifos similares na escritura a outros caracteres do alfabeto latino:
símbolo "" asemella a "a", "" - "g", ""-"l".
A posibilidade de rexistrar dominios nos que se mestura o alfabeto latino con caracteres Unicode especificados foi identificada polo rexistrador Verisign (non se probaron outros rexistradores) e creáronse subdominios nos servizos de Amazon, Google, Wasabi e DigitalOcean. O problema descubriuse en novembro do ano pasado e, a pesar das notificacións enviadas, tres meses despois solucionouse a última hora só en Amazon e Verisign.
Durante o experimento, os investigadores gastaron 400 dólares para rexistrar os seguintes dominios en Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Os investigadores tamén lanzaron para comprobar os seus dominios por posibles alternativas con homoglifos, incluíndo a comprobación de dominios xa rexistrados e certificados TLS con nomes similares. En canto aos certificados HTTPS, comprobáronse 300 dominios con homoglifos a través dos rexistros de Transparencia de Certificados, dos cales se rexistrou a xeración de certificados para 15.
Os navegadores Chrome e Firefox actuais amosan estes dominios na barra de enderezos na notación co prefixo "xn--", non obstante, nas ligazóns os dominios aparecen sen conversión, que se poden usar para inserir recursos ou ligazóns maliciosos nas páxinas, baixo o pretexto. de descargalos desde sitios lexítimos. Por exemplo, nun dos dominios identificados con homoglifos, rexistrouse a distribución dunha versión maliciosa da biblioteca jQuery.
Fonte: opennet.ru