Исследователь рассказал об уязвимости в Chrome и Firefox из-за арабских доменов и эмодзи
Независимый исследователь Рафай Балоч (Rafay Baloch) обнаружил ошибку в нескольких популярных браузерах, позволяющую применять новый способ фишинга с помощью арабских адресов и эмодзи. Об этом он рассказал в своём блоге.
Ссылки на сайты с доменами, написанными на арабском языке или иврите отображаются во многих браузерах так же, как и при письме — справа налево. Таким образом, большинство пользователей, которые привыкли читать слева направо, видят сначала конец адреса, а затем его начало.
Пользуясь этим, мошенники могут написать в конец адреса название популярного сайта и помещают на своём сайте поддельные формы авторизации для соцсетей, банков и других сервисов. Пользователь, прочитав в строке адреса браузера похожую на настоящую ссылку, которая для него начинается с известного адреса, может довериться мошенникам.
Также мошенники могут использовать в адресе эмодзи, которые будут имитировать индикатор защищённого соединения.
По словам Балоча, проблема уже устранена в Firefox и мобильной версии Google Chrome. Также ошибка была замечена в нескольких других популярных браузерах, название которых не раскрывается в целях безопасности. Исследователь получил $5 тысяч за найденные уязвимости от разработчиков браузеров.
© vc.ru
