Forskere fra Soluble en ny måte å registrere domener på , lik utseendet til andre domener, men faktisk annerledes på grunn av tilstedeværelsen av tegn med en annen betydning. Lignende internasjonaliserte domener () kan ved første øyekast ikke avvike fra domenene til kjente selskaper og tjenester, noe som gjør at de kan brukes til phishing, inkludert å skaffe riktige TLS-sertifikater for dem.
Klassisk substitusjon gjennom et tilsynelatende lignende IDN-domene har lenge vært blokkert i nettlesere og registrarer, takket være forbudet mot å blande tegn fra forskjellige alfabeter. For eksempel kan et dummy-domene apple.com ("xn--pple-43d.com") ikke opprettes ved å erstatte det latinske "a" (U+0061) med det kyrilliske "a" (U+0430), siden bokstaver i domenet er blandet fra forskjellige alfabeter er ikke tillatt. I 2017 var det en måte å omgå slik beskyttelse ved å kun bruke unicode-tegn i domenet, uten å bruke det latinske alfabetet (for eksempel ved å bruke språksymboler med tegn som ligner på latin).
Nå er det funnet en annen metode for å omgå beskyttelsen, basert på det faktum at registrarer blokkerer blanding av latin og Unicode, men hvis Unicode-tegnene spesifisert i domenet tilhører en gruppe latinske tegn, er slik blanding tillatt, siden tegnene tilhører det samme alfabetet. Problemet er at i utvidelsen det er homoglyfer som ligner på andre tegn i det latinske alfabetet:
symbol "" ligner "a", "" - "g", "" - "l".
Muligheten for å registrere domener der det latinske alfabetet er blandet med spesifiserte Unicode-tegn ble identifisert av registratoren Verisign (andre registrarer ble ikke testet), og underdomener ble opprettet i tjenestene til Amazon, Google, Wasabi og DigitalOcean. Problemet ble oppdaget i november i fjor, og til tross for varsler sendt, ble det tre måneder senere løst i siste liten bare i Amazon og Verisign.
Under eksperimentet brukte forskerne $400 for å registrere følgende domener hos Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Forskerne lanserte også for å sjekke domenene dine for mulige alternativer med homoglyfer, inkludert å sjekke allerede registrerte domener og TLS-sertifikater med lignende navn. Når det gjelder HTTPS-sertifikater, ble 300 domener med homoglyfer sjekket gjennom Certificate Transparency-loggene, hvorav genereringen av sertifikater ble registrert for 15.
Nåværende Chrome- og Firefox-nettlesere viser slike domener i adressefeltet i notasjonen med prefikset "xn--", men i lenker vises domenene uten konvertering, som kan brukes til å sette inn skadelige ressurser eller lenker på sider, under dekke å laste dem ned fra legitime nettsteder. For eksempel, på et av de identifiserte domenene med homoglyfer, ble distribusjonen av en ondsinnet versjon av jQuery-biblioteket registrert.
Kilde: opennet.ru