Обновите все устройства Apple, чтобы вас не ограбили

Проблема связана с уязвимостью гаджетов перед омографическими атаками.

Специалист Tencent Security предупредил пользователей устройств Apple об уязвимости перед некоторыми из омографических атак. Проблема была устранена компанией ещё в июльском апдейте, но, как показывает практика, не все пользователи обновляются на свежие версии ОС.

Что за атака такая?

Омографическая атака осуществляется с помощью различных символов, похожих на латинские буквы. Например, буквы «a» в латинском и кириллическом алфавите выглядят идентично. Однако за ними стоят разные Unicode-символы. И разными системами они воспринимаются по-разному.

Если бы системы были уязвимы перед каждой из омографических атак, то достаточно было в адресной строке заменить латинскую букву на кириллическую, чтобы, например, поменять URL-адрес и ограбить доверчивых пользователей.

Что опять произошло?

Оказалось, что Safari не видит разницу между двумя буквами. На всякий случай покажу эти два символа картинкой:

Верхний символ называется буквой dum (U+A771). И если Mozilla, Chrome, Edge видят его и отображают правильно, указывая в адресной строке неразбериху из символов, то Safari трансформирует отображение этой буквы в url-адресе в букву «d». Этим и могли воспользоваться злоумышленники, дающие ссылку на icloud.com с использованием этого символа. Вот как бы отображался этот адрес в разных браузерах:

Фейковый iCloud создал xisigr, тот самый специалист Tencent Security, обнаруживший уязвимость. Но до этого же могли додуматься и злоумышленники. По данным xisigr, четверть сайтов, входящих в топ Гугла, содержат символ «d» в url-адресе. Например, JD, WordPress, DropBox, Baidu, Yandex, Google Drive и так далее.

Что теперь?

Как я сказал выше, специалисты Apple пофиксили эту проблему с выходом июльского апдейта. Поэтому если вы по каким-то причинам тогда не обновили свои устройства с операционными системами Apple, то рекомендую это сделать сейчас. Или использовать сторонние браузеры и очень внимательно следить за адресной строкой.