Tyrėjai iš Soluble naujas būdas registruoti domenus su , savo išvaizda panaši į kitas sritis, bet iš tikrųjų skiriasi dėl simbolių, turinčių skirtingą reikšmę. Panašūs internacionalizuoti domenai () iš pirmo žvilgsnio gali nesiskirti nuo žinomų įmonių ir paslaugų domenų, o tai leidžia juos panaudoti sukčiavimui, įskaitant teisingų TLS sertifikatų gavimą.
Klasikinis pakeitimas naudojant iš pažiūros panašų IDN domeną jau seniai buvo užblokuotas naršyklėse ir registratoriuose, nes draudžiama maišyti skirtingų abėcėlių simbolius. Pavyzdžiui, netikras domenas apple.com („xn--pple-43d.com“) negali būti sukurtas pakeitus lotynišką „a“ (U+0061) kirilicos „a“ (U+0430), nes domeno raidės maišomos iš skirtingų abėcėlių, neleidžiama. 2017 metais buvo būdas apeiti tokią apsaugą, naudojant tik unikodo simbolius domene, nenaudojant lotyniškos abėcėlės (pavyzdžiui, naudojant kalbos simbolius su simboliais, panašiais į lotynų).
Dabar buvo rastas kitas apsaugos apėjimo būdas, pagrįstas tuo, kad registratoriai blokuoja lotynų ir unikodo kalbų maišymą, tačiau jei domene nurodyti Unicode simboliai priklauso lotyniškų simbolių grupei, toks maišymas leidžiamas, nes simboliai priklauso ta pati abėcėlė. Problema ta, kad plėtinyje yra homoglifų, panašių raštu į kitus lotyniškos abėcėlės rašmenis:
simbolis"" panašus į "a", "" - "g", "“ – „l“.
Galimybę registruoti domenus, kuriuose lotyniška abėcėlė maišoma su nurodytais unikodo simboliais, nustatė registratorius Verisign (kiti registratoriai nebuvo išbandyti), o subdomenai buvo sukurti Amazon, Google, Wasabi ir DigitalOcean paslaugose. Problema buvo aptikta praėjusių metų lapkritį ir, nepaisant išsiųstų pranešimų, po trijų mėnesių ji paskutinę minutę buvo ištaisyta tik „Amazon“ ir „Verisign“.
Eksperimento metu mokslininkai išleido 400 USD, kad „Verisign“ užregistruotų šiuos domenus:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑnroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Tyrėjai taip pat pradėjo patikrinti, ar domenuose nėra galimų alternatyvų naudojant homoglifus, įskaitant jau registruotų domenų ir TLS sertifikatų su panašiais pavadinimais patikrinimą. Kalbant apie HTTPS sertifikatus, per Certificate Transparency žurnalus buvo patikrinta 300 domenų su homoglifais, iš kurių 15 buvo užfiksuotas sertifikatų generavimas.
Dabartinės „Chrome“ ir „Firefox“ naršyklės tokius domenus rodo adreso juostoje su priešdėliu „xn--“, tačiau nuorodose domenai rodomi be konvertavimo, kuris gali būti naudojamas kenkėjiškų išteklių ar nuorodų įterpimui į puslapius, prisidengiant. atsisiunčiant juos iš teisėtų svetainių . Pavyzdžiui, viename iš nustatytų domenų su homoglifais buvo užfiksuotas kenkėjiškos jQuery bibliotekos versijos platinimas.
Šaltinis: opennet.ru