Исследователь из Tencent Security Xuanwu Lab описал интересный баг, который встречается в прошлых версиях операционных систем от Apple. Этот недочет позволяет злоумышленнику замаскировать вредоносный сайт под ресурс, в доменном имени которого присутствует латинская буква «d».

Суть проблемы заключается в том, что злоумышленники с помощью ошибки в Safari могут подделать латинскую букву «d» в URL-адресе на символ «dum» из каталога Unicode. Символ отличается от буквы наличием небольшой черточки в нижней части, однако Safari ее не отображает, и оба знака в браузере выглядят совершенно одинаково.

Этим могут воспользоваться злоумышленники и зарегистрировать похожие на популярные сервисы доменные имена (например, iCloud, Adobe, LinkedIn и пр.), где вместо латинской буквы «d» будет использоваться символ «dum». После того как жертва авторизируется в фейковом сервисе, злоумышленники получают ее данные от оригинальной страницы.

Эксперты Tencent Security сообщили Apple о проблеме еще прошлым летом, после чего она была исправлен в Safari, iOS, macOS, tvOS и watchOS с релизом июльских обновлений. Уязвимость затрагивает iOS 11.4.1 и ниже, macOS High Sierra версии 10.13.5 и ниже, watchOS версии 4.3.2 и ниже и tvOS версии 11.4.1 и ниже.