Výskumníci z Soluble nový spôsob registrácie domén , vzhľadovo podobná iným doménam, ale v skutočnosti odlišná v dôsledku prítomnosti znakov s iným významom. Podobné internacionalizované domény () sa na prvý pohľad nemusia líšiť od domén známych spoločností a služieb, čo umožňuje ich využitie na phishing, vrátane získania správnych TLS certifikátov pre ne.
Klasická substitúcia cez zdanlivo podobnú IDN doménu je v prehliadačoch a registrátoroch už dávno zablokovaná vďaka zákazu miešania znakov z rôznych abecied. Napríklad fiktívnu doménu apple.com („xn--pple-43d.com“) nemožno vytvoriť nahradením latinského „a“ (U+0061) cyrilickým „a“ (U+0430), pretože písmená v doméne sú zmiešané z rôznych abecied nie je povolené. V roku 2017 bolo spôsob, ako obísť takúto ochranu používaním iba znakov Unicode v doméne bez použitia latinskej abecedy (napríklad pomocou jazykových symbolov so znakmi podobnými latinke).
Teraz bol nájdený ďalší spôsob obídenia ochrany založený na skutočnosti, že registrátori blokujú miešanie latinky a Unicode, ale ak znaky Unicode uvedené v doméne patria do skupiny latinských znakov, takéto miešanie je povolené, pretože znaky patria do rovnakú abecedu. Problém je v tom, že v rozšírení existujú homoglyfy podobné písmom ako iné znaky latinskej abecedy:
symbol"" sa podobá na "a", "" - "g", "“ – „l“.
Možnosť registrácie domén, v ktorých je latinská abeceda zmiešaná so špecifikovanými znakmi Unicode, identifikoval registrátor Verisign (iní registrátori neboli testovaní), subdomény boli vytvorené v službách Amazon, Google, Wasabi a DigitalOcean. Problém bol objavený v novembri minulého roka a napriek odoslaným upozorneniam bol o tri mesiace neskôr na poslednú chvíľu opravený iba v Amazon a Verisign.
Počas experimentu výskumníci minuli 400 dolárov na registráciu nasledujúcich domén u Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑandroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Vedci tiež spustili aby ste skontrolovali svoje domény pre možné alternatívy s homoglyfmi, vrátane kontroly už zaregistrovaných domén a certifikátov TLS s podobnými názvami. Čo sa týka HTTPS certifikátov, cez protokoly Certificate Transparency bolo skontrolovaných 300 domén s homoglyfmi, z toho u 15 bolo zaznamenané vygenerovanie certifikátov.
Súčasné prehliadače Chrome a Firefox zobrazujú takéto domény v paneli s adresou v zápise s predponou „xn--“, avšak v odkazoch sa domény zobrazujú bez konverzie, ktorú je možné použiť na vkladanie škodlivých zdrojov alebo odkazov na stránky pod zámienkou ich sťahovania z legitímnych stránok. Napríklad na jednej z identifikovaných domén s homoglyfmi bola zaznamenaná distribúcia zákernej verzie knižnice jQuery.
Zdroj: opennet.ru