Кілька днів тому Розчинні дослідники оприлюднили своє нове відкриття de новий спосіб реєстрації доменів з гомогліфами які схожі на інші домени, але насправді відрізняються через наявність символів з іншим значенням.
Зазначені інтернаціоналізовані домени (IDN) на перший погляд може не відрізнятися від відомих доменів компаній та служб, що дозволяє використовувати їх для підробки, включаючи отримання правильних сертифікатів TLS для них.
Успішна реєстрація цих доменів виглядає як правильні домени і добре відомі, і використовуються для здійснення соціальних інженерних атак на організації.
Метт Гамільтон, дослідник із Soluble, визначив, що можна зареєструвати кілька доменів загальний верхній рівень (gTLD) з використанням розширення Unicode Latin IPA (наприклад, ɑ та ɩ), а також зміг зареєструвати такі домени.
Класична заміна через очевидно схожий домен IDN давно заблокована у браузерах та реєстраторах через заборону змішувати символи з різних алфавітів. Наприклад, підроблений домен apple.com ("xn--pple-43d.com") не може бути створений заміною латиниці "a" (U + 0061) на кирилицю "a" (U + 0430), оскільки Не допускається змішування володіння літерами з різних алфавітів.
У 2017 році було виявлено спосіб обійти такий захист використовуючи в домені лише символи Unicode, не використовуючи латинський алфавіт (наприклад, використовуючи мовні символи з символами, подібними до латиниці).
Зараз було знайдено інший спосіб обходу захисту, заснований на тому, що реєстратори блокують поєднання латиниці та Unicode, але якщо символи Unicode, зазначені в домені, належать до групи латинських символів, таке змішування дозволено, оскільки символи належать одному алфавіту.
Проблема полягає в тому, що розширення Unicode Latin IPA містить гомогліфи, подібні за написанням до інших латинських символів: символ "ɑ" нагадує "a", "ɡ" - "g", "ɩ" - "l".
Можливість реєструвати домени, в яких латинська мова змішується із зазначеними символами Unicode, була ідентифікована реєстратором Verisign (жоден інший реєстратор не перевірявся), а субдомени були створені в службах Amazon, Google, Wasabi та DigitalOcean.
Хоча розслідування проводилося лише у рДВД, керованих Verisign, проблема Це не було враховано гігантами мережі І незважаючи на надіслані сповіщення, через три місяці, в останню хвилину, це було виправлено лише в Amazon і Verisign, оскільки лише вони зокрема дуже серйозно поставилися до проблеми.
Гамільтон тримав свою доповідь приватною до тих пір, поки компанія Verisign, яка керує реєстрацією доменів для відомих розширень доменів верхнього рівня (gTLD), таких як .com та .net, не вирішила проблему.
Також дослідники запустили онлайн-сервіс для перевірки своїх доменів. шукає можливі альтернативи гомогліфам, включаючи перевірку вже зареєстрованих доменів та сертифікати TLS з подібними іменами.
Що стосується сертифікатів HTTPS, то через записи про прозорість сертифікатів було перевірено 300 доменів з гомогліфами, з яких 15 зареєстровано під час генерації сертифікатів.
Справжні браузери Chrome і Firefox показують подібні домени в адресному рядку в позначенні з префіксом "xn--", однак домени видно без перетворення у посиланнях, які можна використовувати для вставки шкідливих ресурсів або посилань у сторінки під приводом завантаження їх із законних сайтів.
Наприклад, в одному з доменів, ідентифікованих з гомогліфами, було зафіксовано поширення шкідливої версії бібліотеки jQuery.
Під час експерименту дослідники витратили 400 доларів та зареєстрували наступні домени з Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooɡleapis.com
- huffinɡtonpost.com
- instaɡram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si ви хочете дізнатися більше подробиць про це щодо цього відкриття ви можете проконсультуватися за наступним посиланням.