Néhány nappal ezelőtt a Oldható kutatók kiadták új felfedezésüket de a domainek homoglifákkal történő regisztrációjának új módja amelyek más domainekhez hasonlítanak, de valójában eltérő jelentéssel rendelkező karakterek jelenléte miatt különböznek egymástól.
Mondták az internacionalizált domaineket (IDN) első pillantásra nem különbözhet ismert vállalati és szolgáltatási tartományoktól, lehetővé téve, hogy azokat hamisításra használja, ideértve a megfelelő TLS-tanúsítványok megadását is.
Ezeknek a domaineknek a sikeres regisztrációja a megfelelő domaineknek tűnik és jól ismertek, és társadalmi mérnöki támadások végrehajtására használják a szervezetek ellen.
Matt Hamilton, a Soluble kutatója megállapította, hogy lehetséges több domain regisztrálása általános felső szintű (gTLD), amely az Unicode Latin IPA kiterjesztésű karaktert (például ɑ és ɩ) használja, és a következő tartományokat is képes volt regisztrálni.
A látszólag hasonló IDN-tartományon keresztül történő klasszikus helyettesítés már régóta blokkolva van a böngészőkben és a regisztrátorokban, a különböző ábécékből származó karakterek keverésének tilalma miatt. Például az apple.com hamis tartomány ("xn--pple-43d.com") nem hozható létre a latin "a" (U + 0061) cirill betűs "a" (U + 0430) helyettesítésével, mivel a keverés a különböző ábécék betűinek elsajátítása nem megengedett.
2017-ben fedezték fel az ilyen védelem kijátszásának módját csak unicode karakterek használatával a tartományban, a latin ábécé használata nélkül (például a latinhoz hasonló karakterű nyelvi karaktereket használva).
Most találtak egy másik módszert a védelem kijátszására, azon a tényen alapulva, hogy a regisztrátorok blokkolják a a latin és az unicode keveréke, de ha a tartományban megadott Unicode karakterek latin karakterek csoportjába tartoznak, akkor az ilyen keverés megengedett, mivel a karakterek ugyanabba az ábécébe tartoznak.
A probléma az, hogy az Unicode Latin IPA kiterjesztés helyesírásban hasonló homoglifákat tartalmaz, mint a többi latin betű: a "ɑ" szimbólum hasonlít az "a", "ɡ" - "g", "ɩ" - "l" szimbólumokra.
A Verisign regisztrátorral azonosítottuk azon domainek regisztrációjának lehetőségét, amelyekben a latin nyelv keveredik a feltüntetett Unicode karakterekkel (a többi regisztrátort nem ellenőriztük), és aldomaineket hoztak létre az Amazon, a Google, a Wasabi és a DigitalOcean szolgáltatásokban.
Bár a vizsgálatot csak a Verisign által kezelt gTLD-kre végezték, a probléma A hálózat óriásai nem vették figyelembe És a küldött értesítések ellenére, három hónappal később, az utolsó pillanatban, csak az Amazon-nál és a Verisignnál javították, mivel csak ők vették nagyon komolyan a problémát.
Hamilton titokban tartotta a jelentését amíg a Verisign, az a vállalat, amely a kiemelkedő felső szintű domain kiterjesztések (gTLD), például a .com és a .net domain regisztrációját kezeli, kijavította a problémát.
A kutatók egy online szolgáltatást is elindítottak domainjük ellenőrzésére. homoglifákkal lehetséges alternatívák keresése, beleértve a már regisztrált domainek és hasonló nevű TLS-tanúsítványok ellenőrzését.
A HTTPS tanúsítványok tekintetében 300 tanúsítványt használtunk homoglifákkal, a tanúsítvány átláthatósági rekordjain keresztül, amelyek közül 15-t a tanúsítványok generálásakor regisztráltak.
A valódi Chrome és Firefox böngészők hasonló domaineket mutatnak a címsávban az „xn--” előtaggal ellátott jelölésben, azonban a domainek átalakítás nélkül láthatók a linkekben, amelyek rosszindulatú erőforrások vagy linkek beszúrására szolgálnak az oldalakon ürügy a törvényes webhelyekről történő letöltésre.
Például a homoglifákkal azonosított domainek egyikében rögzítették a jQuery könyvtár rosszindulatú változatának elterjedését.
A kísérlet során a kutatók 400 dollárt költöttek, és a következő domaineket regisztrálták Verisign-nal:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑnroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si további részleteket szeretne tudni róla erről a felfedezésről konzultálhat a következő link.