Forskare från Soluble ett nytt sätt att registrera domäner med , liknar andra domäner till utseendet, men faktiskt annorlunda på grund av förekomsten av tecken med en annan betydelse. Liknande internationaliserade domäner () kan vid första anblicken inte skilja sig från domänerna för välkända företag och tjänster, vilket gör att de kan användas för nätfiske, inklusive att skaffa korrekta TLS-certifikat för dem.
Klassisk substitution genom en till synes liknande IDN-domän har länge varit blockerad i webbläsare och registrarer, tack vare förbudet mot att blanda tecken från olika alfabet. Till exempel kan en dummy-domän apple.com ("xn--pple-43d.com") inte skapas genom att ersätta det latinska "a" (U+0061) med det kyrilliska "a" (U+0430), eftersom bokstäver i domänen blandas från olika alfabet är inte tillåtet. 2017 fanns det ett sätt att kringgå sådant skydd genom att endast använda unicode-tecken i domänen, utan att använda det latinska alfabetet (till exempel använda språksymboler med tecken som liknar latin).
Nu har man hittat en annan metod för att kringgå skyddet, baserat på att registrarer blockerar blandning av latin och Unicode, men om Unicode-tecken som anges i domänen tillhör en grupp latinska tecken är sådan blandning tillåten, eftersom tecknen tillhör samma alfabet. Problemet är att i förlängningen det finns homoglyfer som i skrift liknar andra tecken i det latinska alfabetet:
symbol "" liknar "a", "" - "g", "" - "l".
Möjligheten att registrera domäner där det latinska alfabetet är blandat med specificerade Unicode-tecken identifierades av registratorn Verisign (andra registrarer testades inte), och underdomäner skapades i tjänsterna från Amazon, Google, Wasabi och DigitalOcean. Problemet upptäcktes i november förra året och trots aviseringar som skickades, åtgärdades det tre månader senare i sista minuten endast i Amazon och Verisign.
Under experimentet spenderade forskarna $400 för att registrera följande domäner hos Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Forskarna lanserade också för att kontrollera dina domäner för möjliga alternativ med homoglyfer, inklusive att kontrollera redan registrerade domäner och TLS-certifikat med liknande namn. När det gäller HTTPS-certifikat kontrollerades 300 domäner med homoglyfer genom Certificate Transparency-loggarna, varav genereringen av certifikat registrerades för 15.
Aktuella Chrome- och Firefox-webbläsare visar sådana domäner i adressfältet i notationen med prefixet "xn--", men i länkar visas domänerna utan konvertering, vilket kan användas för att infoga skadliga resurser eller länkar på sidor, under täckmantel att ladda ner dem från legitima webbplatser. Till exempel, på en av de identifierade domänerna med homoglyfer, registrerades distributionen av en skadlig version av jQuery-biblioteket.
Källa: opennet.ru