Onderzoekers van Soluble een nieuwe manier om domeinen mee te registreren , qua uiterlijk vergelijkbaar met andere domeinen, maar eigenlijk anders vanwege de aanwezigheid van karakters met een andere betekenis. Soortgelijke geïnternationaliseerde domeinen () kunnen op het eerste gezicht niet verschillen van de domeinen van bekende bedrijven en diensten, waardoor ze kunnen worden gebruikt voor phishing, inclusief het verkrijgen van de juiste TLS-certificaten voor hen.
Klassieke vervanging via een ogenschijnlijk vergelijkbaar IDN-domein is al lange tijd geblokkeerd in browsers en registrars, dankzij het verbod op het mixen van tekens uit verschillende alfabetten. Een dummy-domein apple.com (“xn--pple-43d.com”) kan bijvoorbeeld niet worden aangemaakt door de Latijnse “a” (U+0061) te vervangen door de Cyrillische “a” (U+0430), aangezien de letters in het domein zijn gemengd uit verschillende alfabetten is niet toegestaan. In 2017 was dat zo een manier om dergelijke bescherming te omzeilen door alleen Unicode-tekens in het domein te gebruiken, zonder het Latijnse alfabet te gebruiken (bijvoorbeeld door taalsymbolen te gebruiken met tekens die lijken op het Latijn).
Nu is er een andere methode gevonden om de bescherming te omzeilen, gebaseerd op het feit dat registrars het mixen van Latijnse en Unicode blokkeren, maar als de Unicode-tekens die in het domein zijn gespecificeerd tot een groep Latijnse karakters behoren, is een dergelijke vermenging toegestaan, aangezien de karakters tot hetzelfde alfabet. Het probleem is dat in de extensie er zijn homogliefen die qua schrift vergelijkbaar zijn met andere karakters van het Latijnse alfabet:
symbool "" lijkt op "een", "" - "G", "" - "l".
De mogelijkheid om domeinen te registreren waarin het Latijnse alfabet wordt gemengd met gespecificeerde Unicode-tekens werd geïdentificeerd door de registrar Verisign (andere registrars werden niet getest) en er werden subdomeinen gecreëerd in de diensten van Amazon, Google, Wasabi en DigitalOcean. Het probleem werd in november vorig jaar ontdekt en ondanks verzonden meldingen werd het drie maanden later alleen in Amazon en Verisign op het laatste moment opgelost.
Tijdens het experiment hebben de onderzoekers $ 400 uitgegeven om de volgende domeinen bij Verisign te registreren:
- amzon.com
- kies.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- static.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washintonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooleapis.com
- huffinɡtonpost.com
- instagram.com
- microsoftonɩine.com
- mɑzonɑws.com
- droid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
De onderzoekers gingen ook van start om uw domeinen te controleren op mogelijke alternatieven met homogliefen, inclusief het controleren van reeds geregistreerde domeinen en TLS-certificaten met vergelijkbare namen. Wat betreft HTTPS-certificaten werden 300 domeinen met homogliefen gecontroleerd via de Certificate Transparency-logboeken, waarvan voor 15 de generatie van certificaten werd geregistreerd.
De huidige Chrome- en Firefox-browsers geven dergelijke domeinen in de adresbalk weer in de notatie met het voorvoegsel "xn--", maar in links verschijnen de domeinen zonder conversie, wat kan worden gebruikt om kwaadaardige bronnen of links op pagina's in te voegen, onder het mom van het downloaden van legitieme sites. Op een van de geïdentificeerde domeinen met homogliefen werd bijvoorbeeld de verspreiding van een kwaadaardige versie van de jQuery-bibliotheek geregistreerd.
Bron: opennet.ru