Penyemak Imbas Safari
Sekiranya anda pengguna Apple, maka kemungkinan anda memasang kemas kini terbaru anda, tetapi jika tidak, anda mungkin berjalan di perairan cetek kerana terdapat masalah ingin tahu yang boleh membawa anda ke arah serangan pancingan data.
Dalam penemuan baru-baru ini oleh Makmal Tencent Security Xuanwu , huruf 'd' seperti yang kita tahu, bukan seperti yang kita fikirkan, ketika dilihat di bar alamat penyemak imbas Safari tempat URL laman web masuk. Penyemak imbas Safari memaparkan ‘dum’ Latin (ꝱ) sebagai abjad biasa.
Spoof IDN
Pada mulanya anda mungkin berfikir bahawa ini bukan masalah besar tetapi sebenarnya sebaliknya. Penyerang dengan mudah boleh membuat laman web palsu yang mempunyai huruf 'd' di dalamnya dan menggantikan abjad dengan 'dum' Latin dan kemudian penyemak imbas Safari akan melakukan yang lain dan memaparkannya sebagai nama halaman web biasa dan kebetulan bahawa banyak laman web kegemaran anda mempunyai abjad ini dalam nama domain mereka.
Jenis serangan ini disebut Homograf IDN , di mana penyerang mendaftarkan nama domain menggunakan watak Unicode yang serupa dengan huruf abjad Inggeris biasa yang kita temui dalam penggunaan seharian kita.
Perbezaan Unicode
- makmal Tencent
Dalam nama domain 10K Teratas Google, kira-kira 25% nama domain laman web mempunyai abjad 'di dalamnya. Sebilangannya adalah linkin.com , adobe.com , dropbox.com , reddit.com , dan senarai itu berterusan.
Sejak penemuan isu ini Tencent telah melaporkan penemuan mereka kepada Apple yang mengeluarkan kemas kini keselamatan pada bulan Julai yang kemudian menyelesaikan masalah tersebut. Sekiranya anda adalah salah satu daripada orang yang tidak mengemas kini peranti mereka, inilah alasan lain untuk melakukannya dan selamat dari sebarang serangan pancingan data yang mungkin melibatkan penyamaran dari laman web kegemaran anda dan jika anda masih tidak mahu mengemas kini, kemudian cari D.
