Birkaç gün önce Çözünür araştırmacılar yeni keşiflerini yayınladı de alan adlarını homogliflerle kaydetmenin yeni bir yolu diğer alan adlarına benzeyen, ancak aslında farklı anlamlara sahip karakterlerin varlığından dolayı farklıdır.
Uluslararası hale getirilmiş söz konusu alanlar (IDN) ilk bakışta farklı olmayabilir bilinen şirket ve hizmet etki alanlarını, bunlar için doğru TLS sertifikalarını alma dahil olmak üzere sahtekarlık amacıyla kullanmanıza olanak tanır.
Bu alanların başarılı kaydı, doğru alan adlarına benziyor ve iyi bilinir ve kuruluşlara sosyal mühendislik saldırıları gerçekleştirmek için kullanılır.
Soluble'de bir araştırmacı olan Matt Hamilton, birden fazla alan kaydetmenin mümkün olduğunu belirledi Unicode Latin IPA uzantı karakterini (ɑ ve ɩ gibi) kullanan genel üst düzey (gTLD) ve aşağıdaki etki alanlarını da kaydetmeyi başardı.
Görünüşte benzer bir IDN alanı üzerinden klasik ikame, farklı alfabelerden karakterlerin karıştırılmasının yasaklanması nedeniyle tarayıcılarda ve kayıt şirketlerinde uzun süredir engellenmiştir. Örneğin, sahte etki alanı apple.com ("xn--pple-43d.com"), Mixing'den beri Latince "a" (U + 0061) Kiril "a" (U + 0430) ile değiştirilerek oluşturulamaz. farklı alfabelerden harflerin ustalığına izin verilmez.
2017'de bu tür bir korumayı atlatmanın bir yolu keşfedildi etki alanında yalnızca unicode karakterleri kullanarak, Latin alfabesini kullanmadan (örneğin, Latin harfine benzer karakterlere sahip dil karakterlerini kullanarak).
Şimdi başka bir koruma atlatma yöntemi bulundu, kayıt şirketlerinin Latin ve Unicode karışımı, ancak etki alanında belirtilen Unicode karakterleri bir Latin karakter grubuna aitse, karakterler aynı alfabeye ait olduğundan bu tür karıştırmaya izin verilir.
Sorun, Unicode Latin IPA uzantısının yazım olarak diğer Latin karakterlerine benzer homoglifler içerir: "ɑ" sembolü "a", "ɡ" - "g", "ɩ" - "l" benzer.
Latince'nin belirtilen Unicode karakterleriyle karıştırıldığı etki alanlarını kaydetme yeteneği, Verisign kayıt şirketi tarafından tanımlandı (başka hiçbir kayıt şirketi doğrulanmadı) ve Amazon, Google, Wasabi ve DigitalOcean hizmetlerinde alt etki alanları oluşturuldu.
İnceleme yalnızca Verisign tarafından yönetilen gTLD'lerde yapılmış olsa da sorun Ağın devleri tarafından dikkate alınmadı Ve gönderilen bildirimlere rağmen, üç ay sonra, son dakikada, yalnızca onlar sorunu çok ciddiye aldıkları için yalnızca Amazon ve Verisign'da düzeltildi.
Hamilton raporunu gizli tuttu .com ve .net gibi öne çıkan üst düzey etki alanı uzantıları (gTLD'ler) için etki alanı kayıtlarını yöneten şirket olan Verisign sorunu çözene kadar.
Araştırmacılar ayrıca alanlarını doğrulamak için çevrimiçi bir hizmet başlattı. Halihazırda kayıtlı alan adlarının ve benzer adlara sahip TLS sertifikalarının doğrulanması dahil olmak üzere homoglif içeren olası alternatifler aramak.
HTTPS sertifikaları ile ilgili olarak, Sertifika Şeffaflığı kayıtları aracılığıyla, homoglifli 300 alan doğrulandı, bunlardan 15'i sertifika oluşturma aşamasında kayıtlıydı.
Gerçek Chrome ve Firefox tarayıcıları, adres çubuğunda "xn--" önekiyle benzer etki alanlarını gösterir, ancak etki alanları bağlantılarda dönüştürülmeden görünür ve bu, sayfalara kötü amaçlı kaynaklar veya bağlantılar eklemek için kullanılabilir. onları yasal sitelerden indirme bahanesi.
Örneğin, homogliflerle tanımlanan alanlardan birinde, jQuery kitaplığının kötü amaçlı bir sürümünün yayılması kaydedildi.
Deney sırasında, araştırmacılar 400 $ harcadı ve aşağıdaki alanları kaydettirdi Verisign ile:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatik.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instagram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- android.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si bunun hakkında daha fazla ayrıntı bilmek istiyorsun bu keşif hakkında danışabilirsiniz aşağıdaki bağlantı.