Die »homographische Attacke« ist zurück: wie das Branchen-Blog Soluble berichtet, war es möglich, Zeichen aus dem Unicode International Phonetic Alphabet Extensions in Domains zu verwenden. Die .com- und .net-Registry VeriSign Inc. hat diese Lücke bereits geschlossen.
Die Einführung internationalisierter Domain-Namen (IDNs) und die damit verbundene Möglichkeit, Domains auch in nicht-lateinischen Zeichen registrieren zu können, zählt zu den wesentlichen Evolutionsstufen des Domain Name Systems, da so der Kreis der Nutzer wesentlich erweitert wird. Schon vor 15 Jahren warnte das US-Unternehmen AT&T jedoch auch vor neuen Gefahren; bekannt geworden ist das Risiko unter der Bezeichnung »homographische Attacke«. Dabei werden Zeichen wie beispielsweise die Zahl »0« und der Buchstabe »O«, die bei einer Verwendung in Domains wie bloomberg.com auf den ersten Blick identisch erscheinen, technisch jedoch zu unterschiedlichen Webangeboten verweisen können, missbraucht. Bereits im März 2005 zeigte sich die Internet-Verwaltung ICANN besorgt über die Schwachstelle. Über die Jahre gab es verschiedenste Maßnahmen, um einen Missbrauch auszuschließen; so ist es zum Beispiel untersagt, im Rahmen der Domain-Registrierung Zeichen aus verschiedenen Zeichensätzen zu verwenden. Allerdings sind nach den Recherchen von Soluble Lücken geblieben.
Wie Matt Hamilton im Soluble-Blog mitteilt, gelang es ihm ohne größeren Aufwand, im November 2019 Domains wie amɑzon.com, ɡmɑil.com, yɑhoo.com und instaɡram.com zu registrieren. Ihnen allen war gemein, dass sie mit den Buchstaben a, g und l drei Zeichen aus dem »Unicode International Phonetic Alphabet Extensions«-Zeichensatz verwendeten, die sich zumindest bei einem flüchtigen Blick nicht von den gleichen Buchstaben des lateinischen Alphabets unterscheiden ließen. Dabei nutzte er eine Lücke, die zwar die Verwendung unterschiedlicher Zeichensätze in einer Domain verhindert, nicht aber einen Mix aus Unicode- und lateinischen Zeichen, solange die Unicode-Zeichen selbst lateinisch waren. Erschwerend kam hinzu, dass VeriSign für diese Domains gültige TLS-Zertifikate ausgestellt hat. Dies beinhaltet die Bestätigung über die Authentizität eines Webservers, mit dem kommuniziert wird, und unterstreicht so den Anschein, sich auf der richtigen Domain zu bewegen. Hamilton hat weiter herausgefunden, dass seit 2017 über ein Dutzend homographischer Domains mit aktiven HTTPS-Zertifikaten signiert waren, darunter prominente Webseiten aus dem Finzanz- und Shoppingbereich.
Entdeckt hat Hamilton die Lücke am 22. November 2019 und umgehend Unternehmen wie Amazon und Google informiert. Auch VeriSign wurde benachrichtigt. Dort wurde sodann ein Werkzeug entwickelt, das eine Registrierung von Domains mit den Zeichen aus dem Unicode IPA ausschliesst. Das Risiko für Internetnutzer, Opfer solcher Domain-Namen geworden zu sein, hält Hamilton für gering; er hält es aber für wahrscheinlich, dass sie sie in »social-engineering campaigns« verwendet wurden. ICANN scheint jedenfalls auch nach über einem Jahrzehnt noch keine TLD-übergreifende Lösung gefunden zu haben.