Преди няколко дни Разтворимите изследователи пуснаха новото си откритие de нов начин за регистриране на домейни с хомоглифи които приличат на други домейни, но всъщност се различават поради наличието на символи с различно значение.
Споменатите интернационализирани домейни (IDN) на пръв поглед може да не се различава от известни домейни на фирми и услуги, което ви позволява да ги използвате за подправяне, включително получаване на правилните TLS сертификати за тях.
Успешната регистрация на тези домейни изглежда като правилните домейни и добре известни и се използват за извършване на атаки за социално инженерство срещу организации.
Мат Хамилтън, изследовател в Soluble, установи, че е възможно да се регистрират множество домейни родово най-високо ниво (gTLD) с помощта на Unicode Latin IPA разширителен символ (като ɑ и ɩ) и също така успя да регистрира следните домейни.
Класическото заместване чрез очевидно подобен IDN домейн отдавна е блокирано в браузърите и регистраторите, поради забраната за смесване на символи от различни азбуки. Например фалшивият домейн apple.com ("xn--pple-43d.com") не може да бъде създаден чрез замяна на латиница "a" (U + 0061) с кирилица "a" (U + 0430), тъй като Не е разрешено смесване на владеене на букви от различни азбуки.
През 2017 г. беше открит начин за заобикаляне на такава защита чрез използване само на символи на unicode в домейна, без да се използва латинската азбука (например, като се използват езикови символи с подобни на латиница символи).
Сега е открит друг метод за заобикаляне на защитата, въз основа на факта, че регистраторите блокират комбинация от латиница и Unicode, но ако Unicode символите, посочени в домейна, принадлежат към група латински символи, такова смесване е разрешено, тъй като символите принадлежат към една и съща азбука.
Проблемът е, че разширението Unicode Latin IPA съдържа хомоглифи, близки по правопис до други латински символи: символът "ɑ" прилича на "a", "ɡ" - "g", "ɩ" - "l".
Възможността за регистриране на домейни, в които латиница се смесва с посочените символи на Unicode, беше идентифицирана с регистратора на Verisign (не бяха проверени други регистратори) и бяха създадени поддомейни в услугите на Amazon, Google, Wasabi и DigitalOcean.
Въпреки че разследването е проведено само в gTLD, управлявани от Verisign, проблемът не беше взето предвид от гигантите на мрежата И въпреки изпратените известия, три месеца по-късно, в последния момент, това беше поправено само в Amazon и Verisign, тъй като само те по-специално приеха проблема много сериозно.
Хамилтън запази доклада си частен докато Verisign, компанията, която управлява регистрациите на домейни за видни разширения на домейни от най-високо ниво (gTLD) като .com и .net, не реши проблема.
Изследователите също така стартираха онлайн услуга за проверка на техните домейни. търси възможни алтернативи с хомоглифи, включително проверка на вече регистрирани домейни и TLS сертификати с подобни имена.
Що се отнася до HTTPS сертификатите, чрез записите за прозрачност на сертификатите бяха проверени 300 домейни с хомоглифи, от които 15 бяха регистрирани при генерирането на сертификати.
Реалните браузъри Chrome и Firefox показват подобни домейни в адресната лента в нотацията с префикса "xn--", но домейните се виждат без преобразуване във връзките, които могат да се използват за вмъкване на злонамерени ресурси или връзки в страници, под предлог, че ги изтеглят от легитимни сайтове.
Например в един от домейните, идентифицирани с хомоглифи, е записано разпространението на злонамерена версия на библиотеката jQuery.
По време на експеримента, изследователите са похарчили $ 400 и са регистрирали следните домейни с Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ticstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si искате да знаете повече подробности за него относно това откритие, можете да се консултирате следната връзка.