Pred pár dňami Rozpustní vedci zverejnili svoj nový objav de nový spôsob registrácie domén s homoglyfmi ktoré vyzerajú ako iné domény, ale líšia sa v skutočnosti prítomnosťou znakov s iným významom.
Uvedené internacionalizované domény (IDN) sa na prvý pohľad nemusí líšiť zo známych domén spoločností a služieb, čo vám umožní ich použitie na spoofing vrátane získania správnych certifikátov TLS pre ne.
Úspešná registrácia týchto domén vyzerá ako správne domény a dobre známe a používajú sa na vykonávanie útokov sociálneho inžinierstva na organizácie.
Matt Hamilton, výskumný pracovník spoločnosti Soluble, zistil, že je možné zaregistrovať viac domén generická najvyššia úroveň (gTLD) používajúca rozširujúci znak Unicode Latin IPA (napríklad ɑ a ɩ) a tiež dokázala zaregistrovať nasledujúce domény.
Klasická substitúcia prostredníctvom zjavne podobnej IDN domény bola v prehliadačoch a registrátoroch dlho blokovaná z dôvodu zákazu miešania znakov z rôznych abeced. Napríklad falošnú doménu apple.com („xn--pple-43d.com“) nie je možné vytvoriť nahradením latinky „a“ (U + 0061) cyrilikou „a“ (U + 0430), pretože Miešanie jednotlivých písmen z rôznych abeced nie je povolené.
V roku 2017 bol objavený spôsob, ako takúto ochranu obísť použitím iba znakov unicode v doméne bez použitia latinskej abecedy (napríklad použitím jazykových znakov so znakmi podobnými latinke).
Teraz bol nájdený iný spôsob obchádzania ochranyna základe skutočnosti, že registrátori blokujú mix latinky a Unicode, ale ak znaky Unicode uvedené v doméne patria do skupiny znakov latinky, je také miešanie povolené, pretože znaky patria do rovnakej abecedy.
Problém je v tom, že rozšírenie Unicode Latin IPA obsahuje homoglyfy podobné pravopisu ako iné latinské znaky: symbol „ɑ“ sa podobá „a“, „ɡ“ - „g“, „ɩ“ - „l“.
Schopnosť zaregistrovať domény, v ktorých je latinka zmiešaná s uvedenými znakmi Unicode, bola identifikovaná u registrátora Verisign (neboli overení nijakí ďalší registrátori) a subdomény boli vytvorené v službách Amazon, Google, Wasabi a DigitalOcean.
Hoci sa vyšetrovanie uskutočňovalo iba na gTLD riadených spoločnosťou Verisign, To giganti siete nezohľadňovali A napriek zaslaným oznámeniam, o tri mesiace neskôr, na poslednú chvíľu, bol opravený iba na Amazone a Verisign, pretože problém brali veľmi vážne iba oni.
Hamilton ponechal svoju správu v súkromí kým spoločnosť Verisign, ktorá spravuje registrácie domén pre prominentné prípony domén najvyššej úrovne (gTLD), ako sú .com a .net, problém nevyriešila.
Vedci tiež spustili online službu na overenie ich domén. hľadanie možných alternatív s homoglyfmi vrátane overenia už registrovaných domén a certifikátov TLS s podobnými názvami.
Pokiaľ ide o certifikáty HTTPS, prostredníctvom záznamov o transparentnosti certifikátov bolo overených 300 domén s homoglyfmi, z toho 15 bolo zaregistrovaných pri generovaní certifikátov.
Skutočné prehliadače Chrome a Firefox zobrazujú podobné domény v paneli s adresou v zápise s predponou „xn--“, domény sa však v odkazoch zobrazujú bez konverzie, ktorá sa dá použiť na vloženie škodlivých zdrojov alebo odkazov do pod zámienkou ich stiahnutia z legitímnych stránok.
Napríklad v jednej z domén identifikovaných s homoglyfmi bolo zaznamenané šírenie škodlivej verzie knižnice jQuery.
Počas experimentu výskumníci minuli 400 dolárov a zaregistrovali nasledujúce domény s Verisignom:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑandroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si chcete o tom vedieť viac podrobností o tomto objave sa môžete poradiť nasledujúci odkaz.