幾天前 可溶性研究人員發布了他們的新發現 de 註冊帶有像形文字的域的新方法 與其他領域相似,但實際上由於存在含義不同的字符而有所不同。
所述國際化域名 (IDN) 乍一看可能沒有什麼不同 的已知公司和服務域,從而允許您使用它們進行欺騙,包括接收正確的TLS證書。
成功註冊這些域看起來像正確的域 並且眾所周知,並且被用來對組織進行社會工程攻擊。
Soluble的研究人員Matt Hamilton發現,可以註冊多個域 通用頂級(gTLD)使用Unicode拉丁IPA擴展字符(例如ɑ和ɩ),並且還能夠註冊以下域。
由於禁止混用不同字母的字符,長期以來一直在瀏覽器和註冊商中阻止通過一個看似相似的IDN域進行的經典替換。 例如,偽造的域apple.com(“ xn--pple-43d.com”)不能通過用西里爾字母(a)(U + 0061)替換拉丁文“ a”(U + 0430)來創建,因為混合不允許掌握不同字母的字母。
2017年,發現了一種規避此類保護的方法 通過僅在域中使用unicode字符,而不使用拉丁字母(例如,將語言字符與類似拉丁的字符一起使用)。
現在 發現了另一種繞開保護的方法,基於註冊服務商阻止 拉丁語和Unicode的混合體, 但是如果域中指定的Unicode字符屬於一組拉丁字符,則允許混合,因為這些字符屬於同一字母。
問題是Unicode拉丁IPA擴展名 包含與其他拉丁字母拼寫相似的象形文字:符號“ɑ”類似於“ a”,“ɡ”-“ g”,“ɩ”-“ l”。
通過Verisign註冊服務商可以識別註冊拉丁語與指定Unicode字符混合的域的功能(未驗證其他註冊服務商),並且在Amazon,Google,Wasabi和DigitalOcean服務中創建了子域。
儘管調查僅針對Verisign管理的gTLD進行,但問題是 網絡巨人沒有考慮到這一點 儘管發出了通知,但三個月後的最後一刻,它僅在Amazon和Verisign處修復,因為只有他們特別重視此問題。
漢密爾頓將報告保密 直到管理著.com和.net之類的頂級頂級域名擴展(gTLD)的公司Verisign修復了該問題。
研究人員還啟動了一項在線服務,以驗證其域。 尋找可能的替代形式,包括驗證已經註冊的域名和具有類似名稱的TLS證書。
關於HTTPS證書,通過“證書透明性”記錄,驗證了300個帶象形文字的域,其中15個域在生成證書時已註冊。
真正的Chrome和Firefox瀏覽器在地址欄中以前綴“ xn--”顯示類似的域,但是可以看到這些域在鏈接中未進行任何轉換,這些鏈接可用於在頁面下方的網頁中插入惡意資源或鏈接。從合法站點下載它們的藉口。
例如,在用同形文字標識的一個域中,記錄了jQuery庫的惡意版本的傳播。
在實驗期間 研究人員花費了400美元並註冊了以下域 使用Verisign:
- amɑzon.com
- 中國網
- salesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- 靜態網站
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- 英偉達
- ogoge.com
Si 您想了解更多詳細信息 關於此發現,您可以諮詢 以下鏈接。