自从 ICANN 二十多年前在域名(称为国际化域名或简称 IDN)中引进Unicode 以来，一系列全新的安全问题也随之浮出水面，一起还或许运用不同的字母和Unicode 字符注册域名。 在研讨依据同形异义词和 IDN的 *** 垂钓和其他进犯的可行性时，首要是在 web 运用浸透测验的布景下，咱们偶尔发现了一些古怪的事例，它们也影响了移动运用程序。然后咱们决议针对移动即时通讯东西打开查询，特别是那些面向安全的，查询这类缝隙的盛行程度。 这篇博客文章供给了关于同形异义进犯的扼要概述，强调了它的危险，并介绍了针对 Signal，Telegram 和 Tor Browser 的两种实践运用 *** 。这两种 *** 或许导致简直不或许被检测到的完美 *** 垂钓场景，也或许导致更强壮的运用 *** 以用来抵挡具有 *** 诈骗认识的方针。 什么是同形字和同形异义词？ 在咱们日子中，碰见归于不同字母的字符却看起来相似的状况并不罕见，这些字符即被称为同形字符。有时这取决于它们刚好以视觉上难以区别的 *** 呈现，运用户无法区别它们之间的差异。 因为肉眼看'a'和'a'看起来是相同的(一个同形字) ，但前者归于拉丁文，后者归于西里尔字母。 可是关于未经练习的人类眼睛来说，很难区别这两者，它们或许被计算机列为两种彻底不同的解说。 同形异义词是两个看起来相同但实践上不同的字符串。 例如，英语单词"lighter"在写法上是相同的，但依据上下文的不同，它的意思也有所不同——它的意思可所以"焚烧的设备"，也可所以名词，也可所以动词"heavy"的反义词。 字符串 blazeinfosec.com 和 blazeinfosec.com 常常作为同形字符呈现，但当转化为 URL 时会发生不同的成果。 同形字，以及扩展的同形字，存在于许多不同的文字之间。 例如，拉丁文、希腊文和西里尔字母共用许多字符，这些字符要么看起来彻底相似(例如，A 和 A) ，要么十分相似(例如，P 和P)。 Unicode 有一个文档，它考虑到了"易混杂"字符，这些字符在不同的脚本中具有相似的视觉感观。 字体烘托和同形字 如CVE-2019-4277和2019年4月由Xudong Zheng供给的示例所示，烘托字体的呈现 *** ，以及显现器中字体的巨细，同形字和同形异义词或许以不同的 *** 显现，也或许彼此之间没有彻底不同，这暴露了迄今为止针对 IDN 同形字所采纳的办法是缺乏的。 下面是用 Tahoma 字体显现的字符串 https://www.apple.com (拉丁文)和 https://www.аррӏе.com (西里尔字母) ，字体巨细为30: 下面是以 Bookman Old Style 字体显现的相同的字符串，巨细为30: 从它们呈现和显现的 *** 来看，Tahoma 好像没有区别这两者，没有为诈骗网站的用户供给任何视觉指示。 另一方面，Bookman Old Style 好像至少对'l'和'І'有不同的表现 *** ，给出了关于 URL 合法性的一个小小的视觉暗示。 国际化域名(IDN)和 punycode 跟着在首要操作体系和运用程序中对Unicode 的支撑的呈现，以及互联网在那些不一定运用拉丁文字母的国家中得到遍及，因特网称号与数字地址分配组织在1990年代末推出了之一个版别的互联网注册号（IDN）。 这意味着域名能够用其母语的字符来表明，而不是用 ASCII 字符来绑定。 可是，DNS 体系并不能了解 Unicode，因而需求一种习惯 ascii 专用体系的战略。 因而，创造 Punycode 是为了将包括 Unicode 符号的域名翻译成 ASCII 码，这样 DNS 服务器就能够正常工作了。 例如，ASCII 中的 https://www.blazeinfosec.com 和 https://www.blаzeinfosec.com 将是: · https://www.blazeinfosec.com · https://www.xn--blzeinfosec-zij.com 因为第二个 URL 中的'a'实践上是西里尔字母的'a'，所以需求翻译成 Punycode。 注册同形异义词域名 在国际化域名开始版别一中，能够将 ASCII 和 Unicode 的组合注册到同一个域名中。 这显然是一个安全问题，而且自从选用 IDN 第二和第三版以来现已不再是这样了，该版别进一步约束了 Unicode 域名的注册。 最值得注意的是，它指示通用尖端域名制止注册包括混合脚本的域名(例如，同一字符串中的拉丁字符和日本汉字字符)。 虽然许多尖端域名注册商约束混合脚本，但历史上现已证明了在一个脚本中注册相似的域名的或许性—- 这是现在许多 gTLD 注册商所答应的做法。举个比如，apple.com 和 paypal.com 这两个域名都有西里尔同形异义词，曩昔被安全研讨人员注册为 *** 浏览器中同形异义词问题的概念证明。 洛根 · 麦克唐纳写了一个东西 ha-finder ，它能够查看排名前100万的网站，查看每个网站的字母是否与拉丁文或小数混杂，然后履行 WHOIS 查找，并告知你是否能够注册。 同形异义词进犯 虽然 ICANN 认识到了同形异义词进犯的潜在危险，可是自从 IDN 引进以来，之一批同形异义词在IDN诈骗被认为是在2005年被 Shmoo Group 的 3ric Johanson 发现的。 这个问题的细节在这个 Bugzilla 收据中有所描述，而且影响了其时许多其他的浏览器。 Unicode 同形异义词的另一个实现是针对 Spotify 的进犯，但与本文中描述的问题没有直接关系。在博客中，一位研讨人员发现因为依据 Unicode 的用户名在 ASCII 码中的转化和规范化不妥，导致进犯者能够直接接收用户账户。 最近,在野外发现了相似的针对加密钱银交易所 MyEtherWallet、Github 的用户的 *** 垂钓进犯， 2019年，苹果公司在 Safari 浏览器中修正了一个 bug名为 CVE-2019-4277 。腾讯实验室发现，在 URL 栏中输入了一个小写的拉丁字母'ꝱ' (dum)，看起来与字符"d"一模相同。 不同的浏览器有不同的战略来处理 IDN。 依据装备，其间一些将显现 Unicode，以供给更友爱的用户体会。 他们也有不同的 IDN 显现算法。谷歌的 Chrome 浏览器的算法能够在这里找到。 它在注册域名的 gTLD 上履行查看，并验证字符是否在西里尔混杂字符列表中。[1][2]黑客接单网