Ricercatori di Soluble un nuovo modo di registrare domini con , simile nell'apparenza ad altri domini, ma in realtà diverso per la presenza di caratteri dal significato diverso. Domini internazionalizzati simili () potrebbero a prima vista non differire dai domini di aziende e servizi noti, il che consente loro di essere utilizzati per il phishing, compreso l'ottenimento dei relativi certificati TLS corretti.
La classica sostituzione tramite un dominio IDN apparentemente simile è bloccata da tempo nei browser e nei registrar grazie al divieto di mescolare caratteri di alfabeti diversi. Ad esempio, non è possibile creare un dominio fittizio apple.com (“xn--pple-43d.com”) sostituendo la “a” latina (U+0061) con la “a” cirillica (U+0430), poiché il dominio non è consentito che le lettere nel dominio siano mescolate con alfabeti diversi. Nel 2017 c'era un modo per aggirare tale protezione utilizzando solo caratteri Unicode nel dominio, senza utilizzare l'alfabeto latino (ad esempio, utilizzando simboli linguistici con caratteri simili al latino).
Ora è stato trovato un altro metodo per aggirare la protezione, basato sul fatto che i registrar bloccano la mescolanza di caratteri latini e Unicode, ma se i caratteri Unicode specificati nel dominio appartengono a un gruppo di caratteri latini, tale mescolanza è consentita, poiché i caratteri appartengono a lo stesso alfabeto. Il problema è che nell'estensione esistono omoglifi simili nella scrittura ad altri caratteri dell'alfabeto latino:
simbolo "" assomiglia a "a", "" - "G", "" - "l".
La possibilità di registrare domini in cui l'alfabeto latino è mescolato con determinati caratteri Unicode è stata identificata dal registrar Verisign (altri registrar non sono stati testati) e sono stati creati sottodomini nei servizi di Amazon, Google, Wasabi e DigitalOcean. Il problema è stato scoperto nel novembre dello scorso anno e, nonostante le notifiche inviate, tre mesi dopo è stato risolto all'ultimo minuto solo su Amazon e Verisign.
Durante l'esperimento, i ricercatori hanno speso 400 dollari per registrare i seguenti domini con Verisign:
- amɑzon.com
- ch.se.com
- www.sɑlesforce.com
- mɑil.com
- ppɩe.com
- eby.com
- static.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- www.wɑlmɑrt.com
- wɑsɑbisys.com
- www.yɑhoo.com
- cɩudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instagram.com
- microsoftonɩine.com
- mɑzonɑws.com
- ndroid.com
- netfix.com
- nvidiɑ.com
- oogɩe.com
I ricercatori hanno anche lanciato per controllare i tuoi domini per possibili alternative con omoglifi, incluso il controllo di domini già registrati e certificati TLS con nomi simili. Per quanto riguarda i certificati HTTPS, attraverso i log di Certificate Transparency sono stati controllati 300 domini con omoglifi, di cui per 15 è stata registrata la generazione di certificati.
I browser attuali Chrome e Firefox visualizzano tali domini nella barra degli indirizzi nella notazione con il prefisso "xn--", tuttavia nei collegamenti i domini appaiono senza conversione, che può essere utilizzata per inserire risorse o collegamenti dannosi nelle pagine, con il pretesto di scaricarli da siti legittimi. Ad esempio, su uno dei domini identificati con omoglifi è stata registrata la distribuzione di una variante dannosa della libreria jQuery.
Fonte: opennet.ru