Приложения1 мин.

Раскрыта «дыра безопасности» в WhatsApp, Signal, iMessage

Позволяла проводить фишинговые атаки
Специалисты обнаружили метод, который позволял злоумышленникам создавать правдоподобные фишинговые сообщения в iMessage, WhatsApp, Signal и других мессенджерах в течение последних трёх лет.

Уязвимости представляют собой ошибки рендеринга, приводящие к тому, что интерфейс приложений неправильно отображает URL-адреса с внедрёнными символами Unicode RTLO. Это позволяет осуществлять атаки с подменой URI.

При вставке символа RTLO в строку браузер или приложение отображает строку справа налево. Этот символ преимущественно используется для арабских языков. А также он позволяет подделывать домены в сообщениях, отправляемых пользователям в WhatsApp, iMessage и Signal, делая их похожими на законные поддомены apple.com или google.com. Например, URL-адрес «gepj.xyz» будет отображаться как безобидный «zyx.jpeg», а «kpa.li» — как «li.apk» и т. д.

Некоторые мессенджеры уже пообещали всё исправить.

Источник:Bleeping Computer