Comodo wystawiając certyfikat SSL pomylił firmy – używali OCR-a z podatnością…

Comodo używa (używał?) OCR-a (tak, takiego do rozpoznawania tekstu z obrazu) do wydobycia z bazy whois e-maila admina odpowiedzialnego za daną domenę (to ta osoba potwierdza, że rzeczywiście jest właścicielem domeny – tj. może otrzymać certyfikat SSL).  Pechowo używany OCR posiada podatność, która nie rozpoznaje różnicy np. pomiędzy znakami l 1 czy 0 o.

Można było więc założyć g00gle.com (pisane przez zero)  czy gmai1.com i przy założeniu że kontrolujemy te domeny – otrzymywaliśmy prawidłowy certyfikat do normalną domenę.

No dobra, prawie – bo działało to tylko dla domen .eu oraz .be (choć e-mail może być już dowolnej domenie) i wymagało w oryginalnym mailu 1 lub l (alternatywnie: o lub 0) – cała procedura, którą wykonano w ramach PoC:

1. Comodo używał OCR-a dla domen .be oraz .eu (dla nich baza whois nie wystawia e-maili w formie bezpośredniej – ale w formie obrazka)
2. Cel: zdobycie certyfikatu SSL dla domeny: a1-telekom.eu – w bazie whois występował e-mail: domain.billing@a1telekom.at
3. OCR zinterpretował to jako domain.billing@altelekom.at
4. …która to domena była w posiadaniu „atakujących”
5. Potwierdzam wiec własność domeny i …game over.

Tutaj 1 został zastąpiony listerą l, choć oryginalny post piszę też o potencjalnie odwrotnej sytuacji:

if there is a number after the small l it reads the l as the number 1

–ms