Исследователи проблем кибербезопасности под никами zadewg и Sick.Codes опубликовали описание и проверочный код для эксплуатации уязвимостей, выявленных в ряде самых популярных программ для обмена сообщениями, включая iMessage, WhatsApp, Signal и Facebook Messenger (Facebook – ресурс Meta Platforms Inc. — организации, деятельность которых запрещена на территории РФ). Проблема также затрагивает Instagram (Instagram – ресурс Meta Platforms Inc. — организации, деятельность которых запрещена на территории РФ) и ряд клиентов электронной почты.

Суть ситуации весьма проста. При включении в сообщение URL-адреса ссылки злоумышленнику достаточно вставить в этот адрес символ Unicode RTLO. Эта аббревиатура расшифровывается как right to left override, и данная кодировка используется для отображения сообщений на языках, письменность которых предусматривает порядок чтения справа налево (например, арабские языки или иврит). При внедрении такого символа мессенджеры автоматически «переворачивают» всю ссылку, отображая ее справа налево. Соответственно, ссылка на условный домен gepj.xyz, будет отображаться в сообщении как ссылка на безобидный файл изображения zyx.jpeg.

Легко понять, что злоумышленникам не составит труда с помощью таких ссылок заманивать пользователей на вредоносные сайты.

Первыми на информацию отреагировали разработчики мессенджера Telegram, также уязвимого к подобного рода атакам. Они сообщили, что уже работают над исправлением уязвимости, которое войдет в самое ближайшее обновление ПО. Также уязвимость будет исправлена в следующей версии мессенджера Signal. Остальные разработчики пока не сообщили о своих планах. В любом случае пользователям следует проявить максимальную осторожность в отношении сообщений, содержащих URL-ссылки.