Onderzoekers van Soluble
Klassieke vervanging via een ogenschijnlijk vergelijkbaar IDN-domein is al lange tijd geblokkeerd in browsers en registrars, dankzij het verbod op het mixen van tekens uit verschillende alfabetten. Een dummy-domein apple.com (“xn--pple-43d.com”) kan bijvoorbeeld niet worden aangemaakt door de Latijnse “a” (U+0061) te vervangen door de Cyrillische “a” (U+0430), aangezien de letters in het domein zijn gemengd uit verschillende alfabetten is niet toegestaan. In 2017 was dat zo
Nu is er een andere methode gevonden om de bescherming te omzeilen, gebaseerd op het feit dat registrars het mixen van Latijnse en Unicode blokkeren, maar als de Unicode-tekens die in het domein zijn gespecificeerd tot een groep Latijnse karakters behoren, is een dergelijke vermenging toegestaan, aangezien de karakters tot hetzelfde alfabet. Het probleem is dat in de extensie
symbool "
De mogelijkheid om domeinen te registreren waarin het Latijnse alfabet wordt gemengd met gespecificeerde Unicode-tekens werd geïdentificeerd door de registrar Verisign (andere registrars werden niet getest) en er werden subdomeinen gecreëerd in de diensten van Amazon, Google, Wasabi en DigitalOcean. Het probleem werd in november vorig jaar ontdekt en ondanks verzonden meldingen werd het drie maanden later alleen in Amazon en Verisign op het laatste moment opgelost.
Tijdens het experiment hebben de onderzoekers $ 400 uitgegeven om de volgende domeinen bij Verisign te registreren:
- amzon.com
- kies.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- static.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washintonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooleapis.com
- huffinɡtonpost.com
- instagram.com
- microsoftonɩine.com
- mɑzonɑws.com
- droid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
De onderzoekers gingen ook van start
De huidige Chrome- en Firefox-browsers geven dergelijke domeinen in de adresbalk weer in de notatie met het voorvoegsel "xn--", maar in links verschijnen de domeinen zonder conversie, wat kan worden gebruikt om kwaadaardige bronnen of links op pagina's in te voegen, onder het mom van het downloaden van legitieme sites. Op een van de geïdentificeerde domeinen met homogliefen werd bijvoorbeeld de verspreiding van een kwaadaardige versie van de jQuery-bibliotheek geregistreerd.
Bron: opennet.ru