Pred nekaj dnevi Topni raziskovalci so objavili svoje novo odkritje de nov način registracije domen s homoglifi ki izgledajo kot druge domene, vendar se dejansko razlikujejo zaradi prisotnosti znakov z drugačnim pomenom.
Omenjene internacionalizirane domene (IDN) se na prvi pogled ne razlikujejo iz znanih domen podjetja in storitve, kar vam omogoča, da jih uporabljate za ponarejanje, vključno s prejemanjem ustreznih potrdil TLS zanje.
Uspešna registracija teh domen je videti kot pravilne domene in dobro znani in se uporabljajo za izvajanje napadov socialnega inženiringa na organizacije.
Matt Hamilton, raziskovalec pri podjetju Soluble, je ugotovil, da je mogoče registrirati več domen generični najvišji nivo (gTLD) z uporabo razširitvenega znaka Unicode Latin IPA (na primer ɑ in ɩ) in je lahko registriral tudi naslednje domene.
Klasična zamenjava prek očitno podobne domene IDN je že dolgo blokirana v brskalnikih in registratorjih zaradi prepovedi mešanja znakov iz različnih abeced. Na primer, ponarejene domene apple.com ("xn--pple-43d.com") ni mogoče ustvariti z zamenjavo latinice "a" (U + 0061) s cirilico "a" (U + 0430), saj je Mixing obvladanje črk iz različnih abeced ni dovoljeno.
Leta 2017 je bil odkrit način izogibanja takšni zaščiti z uporabo samo znakov unicode v domeni, brez uporabe latinice (na primer z uporabo jezikovnih znakov z znaki, podobnimi latinici).
Zdaj najden je bil še en način izogibanja zaščiti, ki temelji na dejstvu, da registrarji blokirajo mešanica latinice in Unicode, če pa znaki Unicode, navedeni v domeni, spadajo v skupino latiničnih znakov, je takšno mešanje dovoljeno, saj znaki pripadajo isti abecedi.
Težava je v tem, da je razširitev Unicode Latin IPA vsebuje homoglife, podobne črkovanju kot drugi latinični znaki: simbol "ɑ" je podoben "a", "ɡ" - "g", "ɩ" - "l".
Možnost registracije domen, v katerih se latinica meša z navedenimi znaki Unicode, je bila identificirana z registrarjem Verisign (noben drug registrator ni bil preverjen), poddomene pa so bile ustvarjene v storitvah Amazon, Google, Wasabi in DigitalOcean.
Čeprav je bila preiskava izvedena samo v gTLD, ki jih upravlja Verisign, je težava Velikani omrežja ga niso upoštevali in kljub poslanim obvestilom so ga tri mesece pozneje, v zadnjem trenutku, odpravili le pri Amazonu in Verisignu, saj so le oni to težavo vzeli zelo resno.
Hamilton je svoje poročilo obdržal zasebno dokler podjetje Verisign, ki upravlja registracije domen za vidne razširitve domen na najvišji ravni (gTLD), kot sta .com in .net, ni odpravilo težave.
Raziskovalci so uvedli tudi spletno storitev za preverjanje njihovih domen. iskanje možnih alternativ s homoglifi, vključno s preverjanjem že registriranih domen in certifikatov TLS s podobnimi imeni.
Glede potrdil HTTPS je bilo prek evidenc preglednosti potrdil preverjenih 300 domen s homoglifi, od tega 15 v registraciji potrdil.
Prava brskalnika Chrome in Firefox prikazujeta podobne domene v naslovni vrstici v zapisu s predpono "xn--", vendar so domene vidne brez pretvorbe v povezavah, ki jih lahko uporabimo za vstavljanje zlonamernih virov ali povezav v strani pod pretvezo, da jih naložijo z zakonitih spletnih mest.
Na primer, v eni od domen, identificiranih s homoglifi, je bilo zabeleženo širjenje zlonamerne različice knjižnice jQuery.
Med poskusom je raziskovalci so zapravili 400 USD in registrirali naslednje domene z Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washinginɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si želite vedeti več podrobnosti o tem o tem odkritju se lahko posvetujete naslednjo povezavo.