Acum câteva zile Cercetătorii solubili și-au lansat noua descoperire de un nou mod de a înregistra domenii cu homoglife care arată ca alte domenii, dar diferă de fapt datorită prezenței personajelor cu o semnificație diferită.
A spus domeniile internaționalizate (IDN) poate la prima vedere să nu difere din domenii cunoscute de companii și servicii, permițându-le să le utilizați pentru falsificare, inclusiv primirea certificatelor TLS corecte pentru acestea.
Înregistrarea cu succes a acestor domenii arată ca domeniile corecte și bine cunoscute și sunt utilizate pentru a efectua atacuri de inginerie socială asupra organizațiilor.
Matt Hamilton, cercetător la Soluble, a identificat că este posibil să se înregistreze mai multe domenii generic de nivel superior (gTLD) utilizând caracterul extensiei Unicode Latin IPA (cum ar fi ɑ și ɩ) și a fost, de asemenea, capabil să înregistreze următoarele domenii.
Înlocuirea clasică printr-un domeniu IDN aparent similar a fost blocată mult timp în browsere și registre, din cauza interzicerii amestecului de caractere din diferite alfabete. De exemplu, domeniul fals apple.com („xn--pple-43d.com”) nu poate fi creat prin înlocuirea latinei „a” (U + 0061) cu chirilicul „a” (U + 0430), de la Mixing stăpânirea literelor din diferite alfabete nu este permisă.
În 2017, a fost descoperit un mod de a ocoli o astfel de protecție utilizând numai caractere unicode în domeniu, fără a utiliza alfabetul latin (de exemplu, folosind caractere lingvistice cu caractere similare latinei).
Acum a fost găsită o altă metodă de eludare a protecției, pe baza faptului că registratorii blochează fișierul amestec de latină și Unicode, dar dacă caracterele Unicode specificate în domeniu aparțin unui grup de caractere latine, o astfel de amestecare este permisă, deoarece caracterele aparțin aceluiași alfabet.
Problema este că extensia IPA Unicode Latin conține homoglife similare în ortografie cu alte caractere latine: simbolul „ɑ” seamănă cu „a”, „ɡ” - „g”, „ɩ” - „l”.
Capacitatea de a înregistra domenii în care latina este amestecată cu caracterele Unicode indicate a fost identificată cu registratorul Verisign (nu s-au verificat alți registratori), iar subdomeniile au fost create în serviciile Amazon, Google, Wasabi și DigitalOcean.
Deși ancheta a fost efectuată numai în gTLD-uri gestionate de Verisign, problema Nu a fost luat în calcul de giganții rețelei și în ciuda notificărilor trimise, trei luni mai târziu, în ultimul moment, a fost remediată doar la Amazon și Verisign, deoarece numai ei au luat în serios problema în serios.
Hamilton și-a păstrat raportul privat până când Verisign, compania care gestionează înregistrările de domenii pentru extensiile de domeniu de nivel superior (gTLD) precum .com și .net, a remediat problema.
Cercetătorii au lansat, de asemenea, un serviciu online pentru a-și verifica domeniile. căutând alternative posibile cu homoglife, inclusiv verificarea domeniilor deja înregistrate și certificate TLS cu nume similare.
În ceea ce privește certificatele HTTPS, prin înregistrările de transparență a certificatelor, au fost verificate 300 de domenii cu homoglife, dintre care 15 au fost înregistrate la generarea certificatelor.
Browserele reale Chrome și Firefox prezintă domenii similare în bara de adrese din notație cu prefixul "xn--", totuși domeniile sunt văzute fără conversie în linkuri, care pot fi folosite pentru a insera resurse sau linkuri rău intenționate în pagini, sub pretextul descărcării acestora de pe site-uri legitime.
De exemplu, într-unul dintre domeniile identificate cu homoglife, a fost înregistrată răspândirea unei versiuni dăunătoare a bibliotecii jQuery.
În timpul experimentului, cercetătorii au cheltuit 400 de dolari și au înregistrat următoarele domenii cu Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si vrei să afli mai multe detalii despre asta despre această descoperire, puteți consulta următorul link.