Pētnieki no Soluble jauns veids, kā reģistrēt domēnus ar , pēc izskata līdzīgi citiem domēniem, bet patiesībā atšķiras, jo tajā ir rakstzīmes ar atšķirīgu nozīmi. Līdzīgi internacionalizēti domēni () no pirmā acu uzmetiena var neatšķirties no pazīstamu uzņēmumu un pakalpojumu domēniem, kas ļauj tos izmantot pikšķerēšanai, tostarp iegūt tiem pareizus TLS sertifikātus.
Klasiskā aizstāšana, izmantojot šķietami līdzīgu IDN domēnu, jau sen ir bloķēta pārlūkprogrammās un reģistratūrā, pateicoties aizliegumam sajaukt dažādu alfabētu rakstzīmes. Piemēram, fiktīvu domēnu apple.com (“xn--pple-43d.com”) nevar izveidot, aizstājot latīņu burtu “a” (U+0061) ar kirilicas “a” (U+0430), jo nav atļauti domēna burti no dažādiem alfabētiem. 2017. gadā bija veids, kā apiet šādu aizsardzību, domēnā izmantojot tikai unikoda rakstzīmes, neizmantojot latīņu alfabētu (piemēram, izmantojot valodas simbolus ar latīņu valodai līdzīgām rakstzīmēm).
Tagad ir atrasts cits aizsardzības apiešanas paņēmiens, kas balstīts uz to, ka reģistratūras bloķē latīņu un unikoda sajaukšanu, bet, ja domēnā norādītās unikoda rakstzīmes pieder pie latīņu rakstzīmju grupas, šāda sajaukšana ir atļauta, jo rakstzīmes pieder tas pats alfabēts. Problēma ir tā, ka paplašinājumā ir homoglifi, kas rakstveidā ir līdzīgi citām latīņu alfabēta rakstzīmēm:
simbols "" atgādina "a", "" - "g", "" - "l".
Iespēju reģistrēt domēnus, kuros latīņu alfabēts ir sajaukts ar noteiktām unikoda rakstzīmēm, identificēja reģistrators Verisign (citi reģistratūras netika pārbaudīti), un apakšdomēni tika izveidoti Amazon, Google, Wasabi un DigitalOcean pakalpojumos. Problēma tika atklāta pagājušā gada novembrī un, neskatoties uz nosūtītajiem paziņojumiem, trīs mēnešus vēlāk tā tika novērsta pēdējā brīdī tikai Amazon un Verisign.
Eksperimenta laikā pētnieki iztērēja 400 USD, lai reģistrētu šādus domēnus ar Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑnroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Pētnieki arī uzsāka lai pārbaudītu jūsu domēnos iespējamās alternatīvas ar homoglifiem, tostarp pārbaudītu jau reģistrētos domēnus un TLS sertifikātus ar līdzīgiem nosaukumiem. Kas attiecas uz HTTPS sertifikātiem, 300 domēni ar homoglifiem tika pārbaudīti, izmantojot Certificate Transparency žurnālus, no kuriem 15 tika reģistrēti sertifikātu ģenerēšana.
Pašreizējās pārlūkprogrammas Chrome un Firefox parāda šādus domēnus adreses joslā ar prefiksu “xn--”, taču saitēs domēni parādās bez konvertēšanas, ko var izmantot, lai lapās ievietotu ļaunprātīgus resursus vai saites. lejupielādējot tos no likumīgām vietnēm. Piemēram, vienā no identificētajiem domēniem ar homoglifiem tika reģistrēta jQuery bibliotēkas ļaunprātīgas versijas izplatīšana.
Avots: opennet.ru