Раскрыта «дыра безопасности» в WhatsApp, Signal, iMessage
Позволяла проводить фишинговые атакиСпециалисты обнаружили метод, который позволял злоумышленникам создавать правдоподобные фишинговые сообщения в iMessage, WhatsApp, Signal и других мессенджерах в течение последних трёх лет.
Уязвимости представляют собой ошибки рендеринга, приводящие к тому, что интерфейс приложений неправильно отображает URL-адреса с внедрёнными символами Unicode RTLO. Это позволяет осуществлять атаки с подменой URI.
При вставке символа RTLO в строку браузер или приложение отображает строку справа налево. Этот символ преимущественно используется для арабских языков. А также он позволяет подделывать домены в сообщениях, отправляемых пользователям в WhatsApp, iMessage и Signal, делая их похожими на законные поддомены apple.com или google.com. Например, URL-адрес «gepj.xyz» будет отображаться как безобидный «zyx.jpeg», а «kpa.li» — как «li.apk» и т. д.
Некоторые мессенджеры уже пообещали всё исправить.