Unicode同形字符域漏洞(2)

Google了解此相似域会存在社会工程攻击的风险，特别禁止创建名称为“ google”的存储服务，并且存储服务名称不能包含“ google”或近似得拼写错误，例如“ g00gle”。但是Google允许注册使用Unicode拉丁IPA扩展同形字符的存储服务名称。此外与gTLD注册域名不同，Google允许注册包含混合字符的存储服务名称。

应以与Verisign限制域名注册相同的机制来限制子域服务注册，应当拒绝包含混合字符的任何子域以及同形字符。另一种补救措施是采用Amazon用于限制S3存储服务名注册的方法，拒绝所有以前缀“ xn--”开头的存储服务名。

向相关组织提交情况报告：

Amazon: abuse@amazonaws.com

Google: https://support.google.com/code/contact/cloud_platform_report?hl=en

Wasabi: support@wasabi.com

DigitalOcean: https://www.digitalocean.com/company/contact/abuse/

Verisign: https://www.verisign.com/en_US/company-information/contact-us/index.xhtml

其他一些IPA字符也可以被视为同形文字。在对各种平台和字体设置测试中，这些字符比本文提到的三个IPA字符更具可分辨性。

从Voiced_velar_stop可以看出‘g’排在第一位。拉丁字母Alpha排第二，尤其是在字符串中没有ASCII“ a”字符的情况下。‘ɩ’排在最后，因为在许多系统和字体上，可以从字符中识别出来。

同形字符是一个旧问题。但是，拉丁Unicode IPA字符可以注册而不违反混合字符规则，在此之前并没有人发现并详细报告此类问题，只在Mike Schiffman的2018年第二季度全球域名同形文字报告上证明了这种可能性。

在撰写本文时，仅Amazon（S3）和Verisign修补了漏洞。Verisign已对gTLD注册规则进行了更改，防止使用这些同形文字进行域注册。

任何允许拉丁IPA字符的TLD都可能受到影响，但是互联网上大多数最受欢迎的网站都使用gTLD，即“ .com”。

Verisign要求更多的时间来修补漏洞。考虑到此问题涉及范围，以及修补的重要性和独特性，从而延迟了公开披露时间，延迟披露可以最大程度保护Internet用户的最大利益。

该代码将在漏洞披露后两周内公开，防止攻击者使用代码自动进行同形字符域的注册。该代码以Go语言编写，编译为WebAssembly。

使用IPA拉丁字符的域名“ɑlphɑ.com”是对IPA字符的巧妙而合法的使用，这很容易与先前存在的“ alpha.com”域混淆。但这并不能说明它是“合法用例”。

供应商反应迟钝，总体上令人失望。Amazon和Verisign是唯一认真对待此问题并及时更改其策略的供应商。

在提供了有关漏洞和多种利用方案说明之后，一些组织并不认为这是需要修复的问题，也有表示这是可接受的风险，并且是DNS的已知问题。其他供应商在确认收到披露报告后根本就没有回应。供应商需要认真对待这个问题，应采取积极主动的措施防止包含这些字符的域和子域被注册。

在测试大约300个域名中发现了15个。

有证据表明是从2017年至今。

为什么近年来活动同形字域和证书的数量减少了？ 我是这次攻击的受害者吗？

推测此漏洞仅在针对性强的社会工程学攻击中使用，普通民众并不会成为目标。由于最近CT日志和浏览器处理URL中的Unicode方面的更改，该漏洞在三年前被利用的更加普遍。