Pesquisadores da Solúvel uma nova maneira de registrar domínios com , semelhante em aparência a outros domínios, mas na verdade diferente devido à presença de caracteres com significados diferentes. Domínios internacionalizados semelhantes () podem, à primeira vista, não diferir dos domínios de empresas e serviços conhecidos, o que permite que sejam utilizados para phishing, incluindo a obtenção de certificados TLS corretos para eles.
A substituição clássica por meio de um domínio IDN aparentemente semelhante foi bloqueada há muito tempo em navegadores e registradores, graças à proibição de misturar caracteres de alfabetos diferentes. Por exemplo, um domínio fictício apple.com (“xn--pple-43d.com”) não pode ser criado substituindo o “a” latino (U+0061) pelo “a” cirílico (U+0430), uma vez que o não é permitido misturar letras no domínio de alfabetos diferentes. Em 2017 houve uma forma de contornar essa proteção usando apenas caracteres unicode no domínio, sem usar o alfabeto latino (por exemplo, usando símbolos de idioma com caracteres semelhantes ao latim).
Agora foi encontrado outro método para contornar a proteção, baseado no fato de que os registradores bloqueiam a mistura de latim e Unicode, mas se os caracteres Unicode especificados no domínio pertencerem a um grupo de caracteres latinos, tal mistura é permitida, uma vez que os caracteres pertencem a o mesmo alfabeto. O problema é que na extensão existem homóglifos semelhantes na escrita a outros caracteres do alfabeto latino:
símbolo "" assemelha-se a "a", "" - "g", "" - "eu".
A possibilidade de registrar domínios em que o alfabeto latino é misturado com caracteres Unicode específicos foi identificada pelo registrador Verisign (outros registradores não foram testados), e subdomínios foram criados nos serviços da Amazon, Google, Wasabi e DigitalOcean. O problema foi descoberto em novembro do ano passado e, apesar das notificações enviadas, três meses depois foi corrigido em última hora apenas na Amazon e Verisign.
Durante o experimento, os pesquisadores gastaram US$ 400 para registrar os seguintes domínios na Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce. com
- ɡmɑil. com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian. com
- theverɡe.com
- washɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys. com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ. com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram. com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Os pesquisadores também lançaram para verificar seus domínios em busca de possíveis alternativas com homóglifos, incluindo a verificação de domínios já registrados e certificados TLS com nomes semelhantes. Quanto aos certificados HTTPS, foram verificados 300 domínios com homóglifos através dos logs de Transparência de Certificados, dos quais foi registrada a geração de certificados para 15.
Os navegadores atuais Chrome e Firefox exibem tais domínios na barra de endereço na notação com o prefixo “xn--“, porém, nos links os domínios aparecem sem conversão, o que pode ser usado para inserir recursos maliciosos ou links nas páginas, sob o disfarce de baixá-los de sites legítimos. Por exemplo, em um dos domínios identificados com homóglifos, foi registrada a distribuição de uma versão maliciosa da biblioteca jQuery.
Fonte: opennet.ru