Эксперт по кибербезопасности из Tencent Security рассказал, что продукты Apple в целом хорошо противостоят так называемым омографическим атакам, (с заменой букв на похожие) однако с некоторыми исключениями. И исключения эти очень значительные.
Возможность осуществления таких атак лежит в использовании Punycode — стандартизированного метода преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.
Во многих алфавитах мира есть символы, которые выглядят в точности так же, как их латинский аналог, и эту особенность злоумышленники уже давно (и иногда успешно) применяют для реализации омографических атак. В марте 2018 года неизвестные злоумышленники попытались ограбить таким образом пользователей известной криптовалютной биржи Binance.
К примеру, браузер Safari можно ввести в заблуждение используя букву dum (U+A771) для подмены обычной буквы «d». Буквы выглядят почти идентично, а Safari попросту не отрисовывает их единственное различие – небольшую черточку в нижней части. Вот и готовый вариант для фишингового сайта, ловкость рук и никакой магии.
Специалисты Tencent Security уведомили Apple о проблеме еще минувшим летом, после чего баг был исправлен в Safari, iOS, macOS, tvOS и watchOS с релизом июльского обновления безопасности. Так что, если вы не обновляли с лета свой браузер и систему, стоит это сделать: ведь 25% доменов из 10 000 наиболее посещаемых сайтов по версии Alexa содержат букву «d» (включая LinkedIn, Baidu, Dropbox, Adobe, WordPress, Reddit, GoDaddy) и следовательно могут использоваться для омографических атак.