X

URL-Trick ermöglicht WhatsApp-, Signal- und iMessage-Phishing

Seit Jahren ist ein Trick bekannt, mit dem Cyberkriminelle be­lieb­te Messenger-Dienste wie WhatsApp-, Signal- oder iMes­sage für Phishing missbrauchen können. Die Hinterleute kön­nen da­bei URLs nutzen, die legitim aussehen - zum Beispiel von apple.com oder google.com.
27.03.2022  11:40 Uhr
Das geht aus einem Bericht des Online-Magazins Bleeping Computer hervor. Die zugrunde liegenden Sicherheitslücken sind teilweise seit 2019 bekannt und bringen Nutzer der meistverbreiteten Messaging- und E-Mail-Plattformen wie Instagram, iMessage, WhatsApp, Signal und Facebook Messenger in Gefahr. Neuer Wind kommt nun in die Sache, da jetzt ein Proof of Concept aufgetaucht ist.
WhatsApp, Instagram & Co: Wie Jugendliche am liebsten kommunizieren
Infografik WhatsApp, Instagram & Co: Wie Jugendliche am liebsten kommunizieren

Bei den Schwachstellen handelt es sich um Rendering-Fehler, die dazu führen, dass die Benutzeroberfläche der Apps URLs mit eingefügten RTLO (right to left override) Unicode-Steuerzeichen falsch anzeigt, wodurch der Benutzer für URI-Spoofing-Angriffe anfällig wird. Der Anzeigefehler ermöglich es den Bedrohungsakteuren, legitim aussehende Phishing-Nachrichten zu erstellen und so reihenweise Opfer zu finden.

Dem Anschein nach vertrauenswürdige Domänen

Wenn ein RTLO-Zeichen in eine Zeichenkette eingefügt wird, veranlasst es einen Browser oder eine Messaging-App, die Zeichenkette von rechts nach links statt in der normalen Ausrichtung von links nach rechts anzuzeigen. Dieses Zeichen wird vor allem für die Anzeige von arabischen oder hebräischen Nachrichten verwendet. Auf diese Weise können für Phishing-Angriffe vertrauenswürdige Domänen in Nachrichten gefälscht werden und sie als legitime und vertrauenswürdige Subdomänen von apple.com oder google.com erscheinen lassen.

Den Schwachstellen wurden die folgenden CVEs zugewiesen, und es ist bekannt, dass sie in den folgenden Versionen von IM-Anwendungen funktionieren:

  • CVE-2020-20093 - Facebook Messenger 227.0 oder früher für iOS und 228.1.0.10.116 oder früher auf Android
  • CVE-2020-20094 - Instagram 106.0 oder früher für iOS und 107.0.0.11 oder früher unter Android
  • CVE-2020-20095 - iMessage 14.3 oder älter für iOS
  • CVE-2020-20096 - WhatsApp 2.19.80 oder früher für iOS und 2.19.222 oder früher unter Android

Bei Github wurde dazu nun vor Kurzem ein Proof of Concept veröffentlicht. Die Schwachstellen werden möglicherweise schon seit längerer Zeit aktiv ausgenutzt.

Phishing, Malware, Spoofing

Nach dem eingeschleusten RTLO-Steuerzeichen wird die URL umgekehrt, da sie als "Rechts-nach-Links"-Sprache (Arabisch, Hebräisch usw.) behandelt wird, was der Bedrohungsakteur dann nur noch mit seiner Zieldomäne berücksichtigen muss, um sich erfolgreich zu verstecken. So würde beispielsweise eine manipulierte URL "gepj.xyz" als harmlose JPEG-Bilddatei "zyx.jpeg" erscheinen, während eine manipulierte URL "kpa.li" als APK-Datei "li.apk" erscheinen würde, usw. Hinter den URLs kann sich dann vieles verbergen, sodass das Spoofing sehr schwer zu erkennen ist.

Verwandte Themen
WhatsApp
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2023 WinFuture