Unicode同形字符域漏洞
字数 2290 2025-08-15 21:30:36

Unicode同形字符域漏洞详解与防御指南

一、漏洞概述

Unicode同形字符域漏洞是指攻击者利用Unicode字符集中外观相似但编码不同的字符(称为"同形异义字符"或"同形字符")注册与合法域名极其相似的域名,用于实施网络钓鱼和社会工程学攻击。

1.1 漏洞背景

  • 该技术并非全新,但之前主要关注混合字符(如拉丁与西里尔字母混用)
  • 新发现:Unicode Latin IPA Extension字符集中的同形字符可绕过现有防护机制
  • 从2017年至2020年,已有12个同形字符域获得有效HTTPS证书

1.2 受影响范围

  • 主要影响gTLD(通用顶级域)如.com、.net等
  • 也影响允许用户创建任意子域的服务(如AWS S3、Google Cloud Storage等)
  • 涉及金融、电商、科技等多个行业的知名网站

二、关键同形字符分析

2.1 主要危险字符

Unicode字符 对应拉丁字符 混淆程度评估
ɡ (U+0261) g 极高,通常无法区分
ɑ (U+0251) a 高,尤其在不与标准"a"相邻时
ɩɩ (U+0269) l 中等,某些系统和字体可辨别

2.2 字符特性

  • 这些字符属于Unicode Latin IPA Extension(国际音标扩展)
  • 在视觉上与标准拉丁字母几乎无法区分
  • 现有域名注册规则未完全限制这些字符的使用

三、攻击手法与案例

3.1 典型攻击流程

  1. 识别目标组织的合法域名
  2. 使用同形字符注册相似域名
  3. 获取该域名的HTTPS证书(增强可信度)
  4. 构建钓鱼网站或恶意服务
  5. 通过邮件、链接等方式诱导用户访问

3.2 实际注册案例

研究人员为防止恶意注册,已抢先注册了以下同形域名:

amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩɩe.com
ebɑy.com
...(完整列表见原文)

3.3 已发现的实际利用

  • 发现一个同形字符域包含非官方恶意jQuery库
  • 约300个测试域中发现15个已注册并生成HTTPS证书

四、漏洞时间线

日期 事件
2019.11.22 漏洞发现
2019.11.23-2020.2.2 向各大厂商提交报告
2020.2.10 通知Verisign已注册的同形字符域
2020.2.13 厂商收到0day重新分类通知
2020.2.14 因Verisign未回应,美国CERT介入
2020.2.20 向ICANN提交IDN修订草案
2020.2.24 Amazon更改S3存储服务名称验证策略
2020.3.3 Verisign实施".com"和".net"缓解措施
2020.3.4 公开披露

五、厂商响应情况

5.1 已修复厂商

  • Amazon:更改S3存储服务名称验证策略,禁止"xn--"前缀
  • Verisign:更新gTLD注册规则,禁止使用这些同形字符

5.2 未完全修复厂商

  • Google:虽禁止近似拼写错误,但仍允许IPA同形字符
  • Wasabi、DigitalOcean等:尚未完全解决

六、防御建议

6.1 对于域名注册机构

  • 禁止注册包含Unicode Latin IPA Extension同形字符的域名
  • 采用与Verisign相同的限制机制
  • 拒绝所有以"xn--"开头的域名(IDN编码前缀)

6.2 对于子域服务提供商

  • 实施与顶级域名相同的字符限制
  • 禁止混合字符和同形字符的子域注册
  • 采用Amazon的防护模式

6.3 对于企业组织

  1. 主动防御

    • 注册可能存在的同形字符变体域名
    • 监控证书透明度(CT)日志,查找可疑证书

  2. 检测措施

    • 使用工具检查域名的同形排列
    • 定期审查相关证书

  3. 应急响应

    • 发现侵权域名时,及时联系相关注册商
    • 向以下地址报告滥用情况:
      • Amazon: abuse@amazonaws.com
      • Google: [报告链接]
      • Wasabi: support@wasabi.com
      • DigitalOcean: [滥用报告链接]
      • Verisign: [联系页面]

七、技术细节补充

7.1 为什么此漏洞特殊?

  • 不同于传统的混合字符攻击(如西里尔字母)
  • 这些IPA字符本身就是拉丁字符,不违反混合字符规则
  • 之前未被充分研究和报告

7.2 相关数据统计

  • 测试约300个域名中发现15个已被注册
  • 从2017年至今有12个同形字符域拥有有效HTTPS证书

7.3 浏览器处理变化

  • 近年来CT日志和浏览器URL处理方式的改进减少了此类攻击
  • 但针对性攻击仍可能成功

八、常见问题解答

Q:如果有人注册了我的同形字符域该怎么办?
A:立即向相关注册商和服务提供商提交滥用报告(联系方式见6.3节)

Q:其他拉丁字符是否存在问题?
A:其他IPA字符也有潜在风险,但本文提到的三个字符混淆性最高

Q:为什么此旧问题现在被重视?
A:因为发现IPA字符可绕过现有混合字符防护机制,这是新攻击面

Q:普通用户会成为攻击目标吗?
A:通常用于针对性强的社会工程攻击,普通用户风险较低

九、总结

Unicode同形字符域漏洞虽然基于已知的同形异义攻击原理,但利用了之前未被充分防护的Unicode Latin IPA Extension字符,形成了新的攻击面。虽然主要厂商已开始修复,但完全解决这一问题需要整个互联网生态系统的协同努力。组织应提高警惕,采取主动防御措施,并密切关注此类威胁的发展。

Unicode同形字符域漏洞详解与防御指南 一、漏洞概述 Unicode同形字符域漏洞是指攻击者利用Unicode字符集中外观相似但编码不同的字符(称为"同形异义字符"或"同形字符")注册与合法域名极其相似的域名,用于实施网络钓鱼和社会工程学攻击。 1.1 漏洞背景 该技术并非全新,但之前主要关注混合字符(如拉丁与西里尔字母混用) 新发现:Unicode Latin IPA Extension字符集中的同形字符可绕过现有防护机制 从2017年至2020年,已有12个同形字符域获得有效HTTPS证书 1.2 受影响范围 主要影响gTLD(通用顶级域)如.com、.net等 也影响允许用户创建任意子域的服务(如AWS S3、Google Cloud Storage等) 涉及金融、电商、科技等多个行业的知名网站 二、关键同形字符分析 2.1 主要危险字符 | Unicode字符 | 对应拉丁字符 | 混淆程度评估 | |------------|-------------|-------------| | ɡ (U+0261) | g | 极高,通常无法区分 | | ɑ (U+0251) | a | 高,尤其在不与标准"a"相邻时 | | ɩɩ (U+0269) | l | 中等,某些系统和字体可辨别 | 2.2 字符特性 这些字符属于Unicode Latin IPA Extension(国际音标扩展) 在视觉上与标准拉丁字母几乎无法区分 现有域名注册规则未完全限制这些字符的使用 三、攻击手法与案例 3.1 典型攻击流程 识别目标组织的合法域名 使用同形字符注册相似域名 获取该域名的HTTPS证书(增强可信度) 构建钓鱼网站或恶意服务 通过邮件、链接等方式诱导用户访问 3.2 实际注册案例 研究人员为防止恶意注册,已抢先注册了以下同形域名: 3.3 已发现的实际利用 发现一个同形字符域包含非官方恶意jQuery库 约300个测试域中发现15个已注册并生成HTTPS证书 四、漏洞时间线 | 日期 | 事件 | |------|------| | 2019.11.22 | 漏洞发现 | | 2019.11.23-2020.2.2 | 向各大厂商提交报告 | | 2020.2.10 | 通知Verisign已注册的同形字符域 | | 2020.2.13 | 厂商收到0day重新分类通知 | | 2020.2.14 | 因Verisign未回应,美国CERT介入 | | 2020.2.20 | 向ICANN提交IDN修订草案 | | 2020.2.24 | Amazon更改S3存储服务名称验证策略 | | 2020.3.3 | Verisign实施".com"和".net"缓解措施 | | 2020.3.4 | 公开披露 | 五、厂商响应情况 5.1 已修复厂商 Amazon :更改S3存储服务名称验证策略,禁止"xn--"前缀 Verisign :更新gTLD注册规则,禁止使用这些同形字符 5.2 未完全修复厂商 Google:虽禁止近似拼写错误,但仍允许IPA同形字符 Wasabi、DigitalOcean等:尚未完全解决 六、防御建议 6.1 对于域名注册机构 禁止注册包含Unicode Latin IPA Extension同形字符的域名 采用与Verisign相同的限制机制 拒绝所有以"xn--"开头的域名(IDN编码前缀) 6.2 对于子域服务提供商 实施与顶级域名相同的字符限制 禁止混合字符和同形字符的子域注册 采用Amazon的防护模式 6.3 对于企业组织 主动防御 注册可能存在的同形字符变体域名 监控证书透明度(CT)日志,查找可疑证书 检测措施 使用工具检查域名的同形排列 定期审查相关证书 应急响应 发现侵权域名时,及时联系相关注册商 向以下地址报告滥用情况: Amazon: abuse@amazonaws.com Google: [ 报告链接 ] Wasabi: support@wasabi.com DigitalOcean: [ 滥用报告链接 ] Verisign: [ 联系页面 ] 七、技术细节补充 7.1 为什么此漏洞特殊? 不同于传统的混合字符攻击(如西里尔字母) 这些IPA字符本身就是拉丁字符,不违反混合字符规则 之前未被充分研究和报告 7.2 相关数据统计 测试约300个域名中发现15个已被注册 从2017年至今有12个同形字符域拥有有效HTTPS证书 7.3 浏览器处理变化 近年来CT日志和浏览器URL处理方式的改进减少了此类攻击 但针对性攻击仍可能成功 八、常见问题解答 Q:如果有人注册了我的同形字符域该怎么办? A:立即向相关注册商和服务提供商提交滥用报告(联系方式见6.3节) Q:其他拉丁字符是否存在问题? A:其他IPA字符也有潜在风险,但本文提到的三个字符混淆性最高 Q:为什么此旧问题现在被重视? A:因为发现IPA字符可绕过现有混合字符防护机制,这是新攻击面 Q:普通用户会成为攻击目标吗? A:通常用于针对性强的社会工程攻击,普通用户风险较低 九、总结 Unicode同形字符域漏洞虽然基于已知的同形异义攻击原理,但利用了之前未被充分防护的Unicode Latin IPA Extension字符,形成了新的攻击面。虽然主要厂商已开始修复,但完全解决这一问题需要整个互联网生态系统的协同努力。组织应提高警惕,采取主动防御措施,并密切关注此类威胁的发展。