Проблема безопасности позволяет злоумышленникам проводить успешные фишинговые атаки
Специалисты обнаружили метод, который позволял злоумышленникам создавать правдоподобные
фишинговые сообщения в iMessage, WhatsApp, Signal и других мессенджерах в
течение последних трёх лет.
В атаках использовались уязвимости, связанные с ошибкой рендеринга.
Это приводило к тому, что URL-адреса с символами Unicode RTLO
отображались в приложениях неправильно, что позволяло осуществлять атаки
с подменой URL.
При вставке символа RTLO в строку браузер или приложение для обмена
сообщениями отображает строку справа налево, а не ее обычную ориентацию
слева направо. Этот символ преимущественно используется для отображения
сообщений на арабском языке или иврите.
Например, URL-адрес «gepj.xyz» будет отображаться как безобидный файл изображения JPEG «zyx.jpeg», а созданный «kpa.li» будет отображаться как APK-файл «li.apk» и т. д.
Проблема безопасности может использоваться для фишинговых атак,
позволяя создавать правдоподобные подделки в сообщениях, отправляемых
пользователям в WhatsApp, iMessage, Instagram, Facebook Messenger и
Signal, делая их похожими на законные и надежные поддомены apple.com или google.com.
Разработчики некоторых приложений для обмена сообщениями уже обещали выпустить соответствующий патч.
Источник
