Браузер Safari может быть уязвим перед омографическими атаками, предупредил эксперт компании Tencent Security с ником xisigr. Он на собственном опыте убедился, насколько просто бывает создать фишинговый сайт, который не вызовет у большинства пользователей никаких сомнений в его подлинности. Это позволит злоумышленникам сбор учетных данных для входа в аккаунты социальных сетей, облачных хранилищ, криптовалютных бирж и даже банковских сервисов.
Омографические атаки представляют собой подмену легитимных веб-сайтов поддельными путем использования в их доменных именах символов, совпадающих по начертанию с буквами латинского алфавита. Несмотря на то что, как правило, такие символы имеют некоторые различия, зачастую браузеры вроде Safari неспособны визуализировать их, что в последнее время активно используется мошенниками.
Один из наиболее ярких примеров — символ dum, имеющий обозначение U+A771 и частично совпадающий по начертанию с латинской буквой d, если не считать небольшого апострофа. Впрочем, даже это отличие позволяет вполне четко понять, что dum — это явно не буква латинского алфавита, которую явно не спутать с d. Но это верно лишь отчасти. Из-за архитектурной несовместимости с punycode браузер Safari (в отличие от Chrome, Firefox и Opera) отображает d и dum одинаково, не позволяя отличить один символ от другого.
Чем Chrome лучше Safari
Эта уязвимость позволяет мошенникам использовать dum для регистрации фишинговых страниц iCloud, LinkedIn, Dropbox и массы всевозможных сервисов. Самое сложное для злоумышленников в этом деле, констатировал исследователь, найти символы, которые будут одобрены системой регистрации доменных имен, поскольку некоторые из них могут не отвечать правилам нейминга веб-сайтов и, как следствие, отвергаться регистратором как неподходящие.