Výzkumníci v oblasti kybernetické bezpečnosti vyjádřili obavy z nových internetových domén ZIP a MOV společnosti Google. Upozorňují, že by mohly být použity k phishingovým útokům a doručování malwaru. Informoval o tom server Ars Technica a TechRadar.
Doména nejvyššího řádu, často označovaná zkratkou TLD, je na nejvyšší úrovni stromu internetových domén. V počátcích internetu pomáhala klasifikovat účel, zeměpisnou oblast nebo provozovatele dané domény. Doména nejvyšší úrovně .com například odpovídala stránkám provozovaným komerčními subjekty, doména .org se používala pro neziskové organizace, doména .net pro internetové nebo síťové subjekty atd. Existují také kódy zemí, například .cz pro Českou republiku a .uk pro Spojené království.
Google pushes .zip and .mov domains onto the Internet, and the Internet pushes back https://t.co/z1WtiLjF4P
— Ars Technica (@arstechnica) May 18, 2023
Od té doby ale organizace spravující internetové domény zavedly stovky nových TLD. Před dvěma týdny přidala společnost Google na internet osm nových domén nejvyšší úrovně, čímž se celkový počet domén nejvyšší úrovně zvýšil na 1480. Dvě z nových domén nejvyššího řádu společnosti Google – .zip a .mov – vyvolaly u některých bezpečnostních odborníků pochyby.
Ačkoli společnost Google vysvětlila význam těchto domén, tyto přípony se již běžně používají k označení něčeho úplně jiného. Konkrétně .zip je přípona používaná u archivních souborů, které používají kompresní formát známý jako zip. Formát .mov se zase objevuje na konci videosouborů, obvykle pokud byly vytvořeny ve formátu QuickTime společnosti Apple.
Nový vektor útoku
Bezpečnostní výzkumník vystupující pod přezdívkou „bobbyr“ v úterý na svém blogu uvedl příklad problému, který tento krok společnosti Google způsobuje. Poukázal na to, že zneužitím známého chování prohlížeče Chrome je možné vytvořit URL adresu se znakem Unicode, který se zobrazuje jako lomítko – U+2215 (∕) – ale při načítání adresy URL prohlížečem za něj není považován.
Přidáním znaku @ do adresy, který se používá k oddělení informací o uživateli v rámci schématu URL a který je ve většině moderních prohlížečů ignorován, se odkaz „https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip“ považuje za „v1271.zip“. Výslednou doménu v1271.zip by poté někdo mohl zaregistrovat a použít například k hostování aplikace, která na jakýkoli požadavek odpoví stažením malwaru. Nic netušící uživatel si tak může myslet, že si z GitHubu stáhl legitimní soubor, a otevřít malware.
Samozřejmě se nejedná o kompletně nový problém, podobný typ útoku se již hojně využívá delší dobu. Nové TLD ale vytvořily další úhel útoku, který může být více přesvědčivý. Společnost Google uvádí, že bude na podvodné weby dávat pozor. „Používání domény .zip a dalších domén nejvyšší úrovně budeme sledovat, a pokud se objeví nové hrozby, podnikneme příslušné kroky k ochraně uživatelů.“
