几天前 可溶性研究人员发布了他们的新发现 de 注册带有象形文字的域的新方法 与其他领域相似,但实际上由于存在含义不同的字符而有所不同。
表示国际化域名 (IDN) 乍一看可能没有什么不同 来自已知公司和服务域的邮件,允许您使用它们进行欺骗,包括接收正确的TLS证书。
成功注册这些域看起来像正确的域 并且众所周知,并且被用来对组织进行社会工程攻击。
Soluble的研究人员Matt Hamilton发现,可以注册多个域 通用顶级(gTLD)使用Unicode拉丁IPA扩展字符(例如ɑ和ɩ),并且还能够注册以下域。
由于禁止混用来自不同字母的字符,长期以来,浏览器和注册商一直禁止通过看似相似的IDN域进行经典替换。 例如,不能通过用西里尔字母“ a”(U + 43)替换拉丁文“ a”(U + 0061)来创建假域apple.com(“ xn--pple-0430d.com”),因为不允许混合使用来自不同字母的字母。
2017年,发现了一种规避此类保护的方法 仅使用域中的unicode字符,而不使用拉丁字母(例如,使用字符与拉丁字符相似的语言字符)。
现在 发现了另一种规避保护的方法,基于注册服务商阻止 拉丁和Unicode的混合, 但是如果域中指定的Unicode字符属于一组拉丁字符,则允许混合,因为这些字符属于同一字母。
问题是Unicode拉丁IPA扩展名 包含与其他拉丁字母拼写相似的象形文字:符号“ɑ”类似于“ a”,“ɡ”-“ g”,“ɩ”-“ l”。
通过Verisign注册服务商可以识别注册拉丁语与指定Unicode字符混合的域的功能(未验证其他注册服务商),并且在Amazon,Google,Wasabi和DigitalOcean服务中创建了子域。
尽管调查仅在Verisign管理的gTLD中进行,但问题是 网络巨头并未考虑到这一点 尽管发出了通知,但三个月后的最后一刻,它仅在Amazon和Verisign处修复,因为只有他们特别重视此问题。
汉密尔顿将报告保密 直到管理着.com和.net之类的顶级顶级域名扩展(gTLD)的公司Verisign修复了该问题。
研究人员还启动了一项在线服务,以验证其域。 寻找可能的替代形式,包括验证已经注册的域名和具有类似名称的TLS证书。
关于HTTPS证书,已通过“证书透明性”记录验证了300个带有象形文字的域,其中15个已在生成证书时注册。
真正的Chrome浏览器和Firefox浏览器在地址栏中以前缀“ xn--”显示类似的域,但是在链接中没有转换就可以看到这些域,这些域可用于插入恶意资源或页面,以从合法网站下载它们为借口。
例如,在用同形文字标识的一个域中,记录了jQuery库的恶意版本的传播。
在实验期间 研究人员花费了400美元并注册了以下域 使用Verisign:
- amɑzon.com
- 中国网
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- 英伟达
- ogoge.com
Si 您想了解更多有关它的细节 关于此发现,您可以咨询 以下链接。