Para os utilizadores da Apple sem os patches mais recentes, a letra ‘d’ nem sempre é a letra ‘d’.
A maioria dos utilizadores da Apple instala atualizações, mas existe sempre um pequeno grupo de pessoas que, por várias razões, ficam para trás quando se trata de instalar atualizações, por uma razão ou outra, legítima ou não.
Para os últimos citados acima, devem estar cientes de que a letra “d” nem sempre é a letra “d” quando exibida dentro da barra de endereços do Safari.
Isso pode soar como um não-problema, mas na verdade é um problema muito importante que todos os utilizadores da Apple que não executam a versão do software mais recente precisam estar cientes, pois podem ser vítimas de ataques: “IDN homograph“.
Este tipo de ataques ocorrem quando alguém regista um domínio utilizando caracteres Unicode que parecem letras latinas padrão, mas não são. Por exemplo, coinḃase.com é um ataque homógrafo IDM para coinbase.com (observe o ponto acima da letra b).
Esses domínios semelhantes são geralmente usados para phishing, levando os utilizadores a pensar que acedem a um website legítimo quando estão em um clone especialmente criado para roubar informações das vítimas.
Este tipo de ataques foi muito comum em 2017, com várias campanhas relacionadas com criptomoedas: [1, 2, 3].
Impulsionado por essa nova onda de ataques homográficos, xisigr, investigador da Tencent Security Xuanwu Lab, recentemente analisou como os produtos da Apple lidam com caracteres Unicode.
O investigador descobriu que a Apple faz um bom trabalho com a maioria dos caracteres Unicode, exceto um – que é a letra dum (ꝱ) (U + A771), parte do conjunto de caracteres do alfabeto latino estendido.
A letra parece uma letra minúscula latina normal ‘d’, exceto que ela vem com um apóstrofo inferior. Mas xisigr descobriu que o Safari não renderiza o pequeno apóstrofo inferior, exibindo a letra dum como uma letra latina d.
O investigador comunicou detalhes da sua investigação para a Apple, que emitiu atualizações de segurança em julho para o Safari, iOS, macOS, tvOS e watchOS.
No entanto, existem ainda muitos sistemas que ainda não foram patched com as últimas versões do software disponibilizado.
Xisigr disse ainda que a questão não deve ser ignorada porque ele descobriu que a letra d é parte de quase 25% de todos os 10.000 principais domínios, fornecendo aos invasores uma enorme superfície de phishing.