Объективная причина отказаться от Safari в пользу другого браузера

21 November 2018
1,1k full reads
1,5 min.
1,4k story viewsUnique page visitors
1,1k read the story to the endThat's 80% of the total page views
1,5 minute — average reading time

Браузер Safari может быть уязвим перед омографическими атаками, предупредил эксперт компании Tencent Security с ником xisigr. Он на собственном опыте убедился, насколько просто бывает создать фишинговый сайт, который не вызовет у большинства пользователей никаких сомнений в его подлинности. Это позволит злоумышленникам сбор учетных данных для входа в аккаунты социальных сетей, облачных хранилищ, криптовалютных бирж и даже банковских сервисов.

Объективная причина отказаться от Safari в пользу другого браузера

Омографические атаки представляют собой подмену легитимных веб-сайтов поддельными путем использования в их доменных именах символов, совпадающих по начертанию с буквами латинского алфавита. Несмотря на то что, как правило, такие символы имеют некоторые различия, зачастую браузеры вроде Safari неспособны визуализировать их, что в последнее время активно используется мошенниками.

Объективная причина отказаться от Safari в пользу другого браузера

Один из наиболее ярких примеров — символ dum, имеющий обозначение U+A771 и частично совпадающий по начертанию с латинской буквой d, если не считать небольшого апострофа. Впрочем, даже это отличие позволяет вполне четко понять, что dum — это явно не буква латинского алфавита, которую явно не спутать с d. Но это верно лишь отчасти. Из-за архитектурной несовместимости с punycode браузер Safari (в отличие от Chrome, Firefox и Opera) отображает d и dum одинаково, не позволяя отличить один символ от другого.

Чем Chrome лучше Safari

Объективная причина отказаться от Safari в пользу другого браузера

Эта уязвимость позволяет мошенникам использовать dum для регистрации фишинговых страниц iCloud, LinkedIn, Dropbox и массы всевозможных сервисов. Самое сложное для злоумышленников в этом деле, констатировал исследователь, найти символы, которые будут одобрены системой регистрации доменных имен, поскольку некоторые из них могут не отвечать правилам нейминга веб-сайтов и, как следствие, отвергаться регистратором как неподходящие.