Před několika dny Rozpustní vědci zveřejnili svůj nový objev de nový způsob registrace domén s homoglyfy které vypadají jako jiné domény, ale ve skutečnosti se liší kvůli přítomnosti postav s jiným významem.
Takové internacionalizované domény (IDN) se na první pohled nemusí lišit ze známých domén společností a služeb, což vám umožňuje používat je pro spoofing, včetně přijímání správných certifikátů TLS pro ně.
Úspěšná registrace těchto domén vypadá jako správné domény a dobře známé a používají se k provádění útoků sociálního inženýrství na organizace.
Matt Hamilton, výzkumný pracovník společnosti Soluble, zjistil, že je možné zaregistrovat více domén obecná nejvyšší úroveň (gTLD) používající znak rozšíření Unicode Latin IPA (například ɑ a ɩ) a také dokázala zaregistrovat následující domény.
Klasické nahrazování prostřednictvím zdánlivě podobné domény IDN je v prohlížečích a registrátorech již dlouho blokováno kvůli zákazu míchání znaků z různých abeced. Falešnou doménu apple.com („xn--pple-43d.com“) například nelze vytvořit nahrazením latinky „a“ (U + 0061) cyrilicí „a“ (U + 0430), protože Míchání mistrovství v psaní písmen z různých abeced není povoleno.
V roce 2017 byl objeven způsob, jak tuto ochranu obejít použitím pouze znaků Unicode v doméně, bez použití latinky (například pomocí znaků jazyka se znaky podobnými latince).
Nyní byl nalezen jiný způsob obcházení ochranyna základě skutečnosti, že registrátoři blokují kombinace latiny a Unicode, ale pokud znaky Unicode uvedené v doméně patří do skupiny latinských znaků, je takové míchání povoleno, protože znaky patří do stejné abecedy.
Problém je v tom, že rozšíření Unicode Latin IPA obsahuje homoglyfy podobné pravopisu ostatním latinským znakům: symbol „ɑ“ se podobá „a“, „ɡ“ - „g“, „ɩ“ - „l“.
Schopnost registrovat domény, ve kterých je latina smíchána s uvedenými znaky Unicode, byla identifikována u registrátora Verisign (nebyli ověřeni žádní další registrátoři) a subdomény byly vytvořeny ve službách Amazon, Google, Wasabi a DigitalOcean.
Přestože vyšetřování probíhalo pouze na gTLD spravovaných společností Verisign, problém byl To nebylo vzato v úvahu obry sítě a přes zaslaná oznámení byla o tři měsíce později na poslední chvíli opravena pouze u Amazonu a Verisignu, protože problém brali velmi vážně zejména oni.
Hamilton nechal svou zprávu v soukromí dokud společnost Verisign, která spravuje registrace domén pro prominentní doménová rozšíření nejvyšší úrovně (gTLD), jako jsou .com a .net, problém nevyřešila.
Vědci také spustili online službu k ověření jejich domén. hledají možné alternativy s homoglyfy, včetně ověření již registrovaných domén a certifikátů TLS s podobnými názvy.
Pokud jde o certifikáty HTTPS, prostřednictvím záznamů o transparentnosti certifikátů bylo ověřeno 300 domén s homoglyfy, z nichž 15 bylo zaregistrováno při generování certifikátů.
Skutečné prohlížeče Chrome a Firefox zobrazují podobné domény v adresním řádku v zápisu s předponou „xn--“, avšak domény se zobrazují bez konverze v odkazech, které lze použít k vložení škodlivých zdrojů nebo odkazů do pod záminkou jejich stažení z legitimních stránek.
Například v jedné z domén identifikovaných s homoglyfy bylo zaznamenáno šíření škodlivé verze knihovny jQuery.
Během experimentu vědci utratili 400 $ a zaregistrovali následující domény s Verisignem:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si chcete o tom vědět více podrobností o tomto objevu se můžete poradit následující odkaz.