Naukowcy z Soluble nowy sposób rejestracji domen w , podobny wyglądem do innych domen, ale tak naprawdę różni się obecnością znaków o innym znaczeniu. Podobne domeny umiędzynarodowione () mogą na pierwszy rzut oka nie różnić się od domen znanych firm i usług, co pozwala na wykorzystanie ich do phishingu, w tym uzyskania dla nich odpowiednich certyfikatów TLS.
Klasyczna substytucja poprzez pozornie podobną domenę IDN od dawna jest blokowana w przeglądarkach i rejestratorach, dzięki zakazowi mieszania znaków z różnych alfabetów. Na przykład fikcyjnej domeny apple.com („xn--pple-43d.com”) nie można utworzyć poprzez zastąpienie łacińskiego „a” (U+0061) cyrylicą „a” (U+0430), ponieważ litery w domenie są pomieszane z różnych alfabetów, jest niedozwolone. W 2017 roku było sposób na ominięcie takiego zabezpieczenia poprzez używanie w domenie wyłącznie znaków Unicode, bez użycia alfabetu łacińskiego (np. używanie symboli języka ze znakami podobnymi do łacińskiego).
Teraz znaleziono inną metodę obejścia zabezpieczeń, polegającą na tym, że rejestratorzy blokują mieszanie języka łacińskiego i Unicode, ale jeśli znaki Unicode określone w domenie należą do grupy znaków łacińskich, takie mieszanie jest dozwolone, ponieważ znaki należą do ten sam alfabet. Problem w tym, że w rozszerzeniu istnieją homoglify podobne pismem do innych znaków alfabetu łacińskiego:
symbol "„przypomina „a”, „" - "G", "" - "ja".
Możliwość rejestracji domen, w których alfabet łaciński jest zmieszany z określonymi znakami Unicode, została zidentyfikowana przez rejestratora Verisign (inne rejestratory nie były testowane), a subdomeny zostały utworzone w usługach Amazon, Google, Wasabi i DigitalOcean. Problem został wykryty w listopadzie ubiegłego roku i pomimo wysłanych powiadomień, trzy miesiące później został naprawiony w ostatniej chwili jedynie w Amazon i Verisign.
Podczas eksperymentu badacze wydali 400 dolarów na rejestrację następujących domen w Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- eby.com
- static.com
- Stempowered.com
- theɡguardian.com
- theverɡe.com
- waszyngtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- mɑzonɑws.com
- droid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
Naukowcy również wystartowali aby sprawdzić swoje domeny pod kątem możliwych alternatyw z homoglifami, w tym sprawdzić już zarejestrowane domeny i certyfikaty TLS o podobnych nazwach. Jeśli chodzi o certyfikaty HTTPS, poprzez logi Przejrzystości Certyfikatów sprawdzono 300 domen z homoglifami, z czego dla 15 zarejestrowano wygenerowanie certyfikatów.
Obecne przeglądarki Chrome i Firefox wyświetlają takie domeny w pasku adresu w zapisie z przedrostkiem „xn--”, natomiast w linkach domeny pojawiają się bez konwersji, co może służyć do wstawiania złośliwych zasobów lub linków na strony pod pozorem pobierania ich z legalnych witryn. Przykładowo na jednej ze zidentyfikowanych domen zawierających homoglify odnotowano dystrybucję złośliwej wersji biblioteki jQuery.
Źródło: opennet.ru