થોડા દિવસો પહેલા દ્રાવ્ય સંશોધનકારોએ તેમની નવી શોધ પ્રકાશિત કરી de હોમોગ્લિફ્સ સાથે ડોમેન્સને રજિસ્ટર કરવાની નવી રીત જે અન્ય ડોમેન્સની જેમ દેખાય છે, પરંતુ ખરેખર કોઈ અલગ અર્થવાળા અક્ષરોની હાજરીને કારણે અલગ પડે છે.
આંતરરાષ્ટ્રીયકૃત ડોમેન્સ કહ્યું (IDN) પ્રથમ નજરમાં અલગ ન હોઈ શકે જાણીતા કંપની અને સર્વિસ ડોમેન્સથી, તમને તેમના માટે તેમને TLS સર્ટિફિકેટ પ્રાપ્ત કરવા સહિત, સ્પોફિંગ માટે ઉપયોગ કરવાની મંજૂરી આપે છે.
આ ડોમેન્સનું સફળ નોંધણી સાચા ડોમેન્સ જેવું લાગે છે અને જાણીતા છે, અને તેનો ઉપયોગ સંસ્થાઓ પર સોશ્યલ એન્જિનિયરિંગ હુમલા કરવા માટે થાય છે.
દ્રાવ્ય પદાર્થના સંશોધનકર્તા મેટ હેમિલ્ટનએ ઓળખી કા .્યું કે બહુવિધ ડોમેન્સ નોંધાવવાનું શક્ય છે યુનિકોડ લેટિન આઈપીએ એક્સ્ટેંશન કેરેક્ટર (જેમ કે ɑ અને ɩ) નો ઉપયોગ કરીને જેનરિક ટોપ-લેવલ (જીટીએલડી), અને નીચેના ડોમેન્સની નોંધણી કરવામાં પણ સક્ષમ હતું.
દેખીતી રીતે સમાન IDN ડોમેન દ્વારા ક્લાસિક અવેજી, વિવિધ મૂળાક્ષરોના અક્ષરોના મિશ્રણની પ્રતિબંધને કારણે, બ્રાઉઝર્સ અને રજિસ્ટ્રાર્સમાં લાંબા સમયથી અવરોધિત છે. ઉદાહરણ તરીકે, નકલી ડોમેન એપલ ડોટ કોમ ("xn--pple-43d.com") લેટિન "એ" (યુ + 0061) ને સિરિલિક "એ" (યુ + 0430) સાથે બદલીને બનાવી શકાતું નથી, ત્યારથી વિવિધ મૂળાક્ષરોના પત્રોમાં નિપુણતા મિશ્રિત કરવાની મંજૂરી નથી.
2017 માં, આવા રક્ષણને અવગણવાની એક રીત મળી ડોટિનમાં ફક્ત યુનિકોડ અક્ષરોનો ઉપયોગ કરીને, લેટિન મૂળાક્ષરોનો ઉપયોગ કર્યા વિના (ઉદાહરણ તરીકે, લેટિન જેવા અક્ષરોવાળી ભાષાના અક્ષરોનો ઉપયોગ કરીને).
હવે રક્ષણની અવધિની બીજી પદ્ધતિ મળી છે, રજિસ્ટ્રાર્સ અવરોધિત કરે છે તે હકીકતને આધારે લેટિન અને યુનિકોડનું મિશ્રણ, પરંતુ જો ડોમેનમાં ઉલ્લેખિત યુનિકોડ અક્ષરો લેટિન અક્ષરોના જૂથ સાથે સંબંધિત છે, તો આવા મિશ્રણને મંજૂરી છે, કારણ કે અક્ષરો સમાન મૂળાક્ષરોના છે.
સમસ્યા એ છે કે યુનિકોડ લેટિન આઈપીએ એક્સ્ટેંશન અન્ય લેટિન અક્ષરોની જોડણી સમાન હોમોગ્લાઇફ્સ શામેલ છે: પ્રતીક "ɑ" "એ", "ɡ" - "જી", "ɩ" - "એલ" જેવું લાગે છે.
સૂચિત યુનિકોડ અક્ષરો સાથે લેટિનને મિશ્રિત કરવામાં આવતા ડોમેન્સને રજિસ્ટર કરવાની ક્ષમતા વેરીસિગન રજિસ્ટ્રાર (અન્ય કોઈ રજિસ્ટરની ચકાસણી કરવામાં આવી નથી) સાથે ઓળખાઈ હતી, અને એમેઝોન, ગૂગલ, વસાબી અને ડિજિટલ ઓશન સેવાઓમાં સબડોમેન્સ બનાવવામાં આવ્યા હતા.
જો કે તપાસ ફક્ત વેરીઝાઇન-મેનેજડ જીટીએલડીમાં કરવામાં આવી હતી, સમસ્યા નેટવર્કના દિગ્ગજોએ તેને ધ્યાનમાં લીધું ન હતું અને મોકલેલ સૂચનાઓ હોવા છતાં, ત્રણ મહિના પછી, છેલ્લી ક્ષણે, તે ફક્ત એમેઝોન અને વેરિસિગનમાં જ ઠીક કરવામાં આવી હતી, કારણ કે ખાસ કરીને તેઓએ સમસ્યાને ખૂબ ગંભીરતાથી લીધી હતી.
હેમિલ્ટને પોતાનો અહેવાલ ખાનગી રાખ્યો હતો વેરીસિગન સુધી, તે કંપની કે .com અને .net જેવા અગ્રણી ટોચના-સ્તરના ડોમેન એક્સ્ટેંશન (gTLDs) માટે ડોમેન નોંધણીઓનું સંચાલન કરે છે, સમસ્યાને નિશ્ચિત કરે છે.
સંશોધનકારોએ તેમના ડોમેન્સને ચકાસવા માટે serviceનલાઇન સેવા પણ શરૂ કરી. પહેલાથી નોંધાયેલા ડોમેન્સની ચકાસણી અને સમાન નામો સાથેના TLS પ્રમાણપત્રો સહિત હોમોગ્લાઇફ્સ સાથેના શક્ય વિકલ્પોની શોધમાં.
એચટીટીપીએસ પ્રમાણપત્રો અંગે, પ્રમાણપત્ર પારદર્શિતા રેકોર્ડ દ્વારા, હોમોગ્લાઇફ્સવાળા 300 ડોમેન્સની ચકાસણી કરવામાં આવી હતી, જેમાંથી 15 પ્રમાણપત્રોની પે certificatesીમાં નોંધાયેલા હતા.
પ્રત્યક્ષ ક્રોમ અને ફાયરફોક્સ બ્રાઉઝર્સ, ઉપસર્ગ "xn--" સાથેના સૂચનમાં સરનામાં બારમાં સમાન ડોમેન્સ બતાવે છે, જો કે, ડોમેન્સને લિંક્સમાં રૂપાંતર વિના જોઇ શકાય છે, જેનો ઉપયોગ દૂષિત સંસાધનો અથવા લિંક્સ દાખલ કરવા માટે થઈ શકે છે. પૃષ્ઠોને કાયદેસર સાઇટ્સ પરથી ડાઉનલોડ કરવાના બહાના હેઠળ.
ઉદાહરણ તરીકે, હોમોગ્લાઇફ્સ સાથે ઓળખાતા ડોમેન્સમાંના એકમાં, jQuery લાઇબ્રેરીના દૂષિત સંસ્કરણનો ફેલાવો રેકોર્ડ કરવામાં આવ્યો હતો.
પ્રયોગ દરમિયાન, સંશોધનકારોએ $ 400 ખર્ચ્યા અને નીચેના ડોમેન્સ નોંધ્યા વેરિસાઇન સાથે:
- amɑzon.com
- chɑse.com
- sɑlesfor.com
- .mɑil.com
- ɑppɩe.com
- ebɑy.com
- aticstatic.com
- steɑmppowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- માઇક્રોસોફ્ટɩન ડોટ કોમ
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- .oogɩe.com
Si તમે તેના વિશે વધુ વિગતો જાણવા માંગો છો આ શોધ વિશે, તમે સંપર્ક કરી શકો છો નીચેની કડી.