Seit Jahren ist ein Trick bekannt, mit dem Cyberkriminelle beliebte Messenger-Dienste wie WhatsApp-, Signal- oder iMessage für Phishing missbrauchen können. Die Hinterleute können dabei URLs nutzen, die legitim aussehen - zum Beispiel von apple.com oder google.com.
Das geht aus einem Bericht des Online-Magazins Bleeping Computer hervor. Die zugrunde liegenden Sicherheitslücken sind teilweise seit 2019 bekannt und bringen Nutzer der meistverbreiteten Messaging- und E-Mail-Plattformen wie Instagram, iMessage, WhatsApp, Signal und Facebook Messenger in Gefahr. Neuer Wind kommt nun in die Sache, da jetzt ein Proof of Concept aufgetaucht ist.
Bei den Schwachstellen handelt es sich um Rendering-Fehler, die dazu führen, dass die Benutzeroberfläche der Apps URLs mit eingefügten RTLO (right to left override) Unicode-Steuerzeichen falsch anzeigt, wodurch der Benutzer für URI-Spoofing-Angriffe anfällig wird. Der Anzeigefehler ermöglich es den Bedrohungsakteuren, legitim aussehende Phishing-Nachrichten zu erstellen und so reihenweise Opfer zu finden.
Dem Anschein nach vertrauenswürdige Domänen
Wenn ein RTLO-Zeichen in eine Zeichenkette eingefügt wird, veranlasst es einen Browser oder eine Messaging-App, die Zeichenkette von rechts nach links statt in der normalen Ausrichtung von links nach rechts anzuzeigen. Dieses Zeichen wird vor allem für die Anzeige von arabischen oder hebräischen Nachrichten verwendet. Auf diese Weise können für Phishing-Angriffe vertrauenswürdige Domänen in Nachrichten gefälscht werden und sie als legitime und vertrauenswürdige Subdomänen von apple.com oder google.com erscheinen lassen.
Den Schwachstellen wurden die folgenden CVEs zugewiesen, und es ist bekannt, dass sie in den folgenden Versionen von IM-Anwendungen funktionieren:
CVE-2020-20093 - Facebook Messenger 227.0 oder früher für iOS und 228.1.0.10.116 oder früher auf Android
CVE-2020-20094 - Instagram 106.0 oder früher für iOS und 107.0.0.11 oder früher unter Android
CVE-2020-20095 - iMessage 14.3 oder älter für iOS
CVE-2020-20096 - WhatsApp 2.19.80 oder früher für iOS und 2.19.222 oder früher unter Android
Bei Github wurde dazu nun vor Kurzem ein Proof of Concept veröffentlicht.
Die Schwachstellen werden möglicherweise schon seit längerer Zeit aktiv ausgenutzt.
Phishing, Malware, Spoofing
Nach dem eingeschleusten RTLO-Steuerzeichen wird die URL umgekehrt, da sie als "Rechts-nach-Links"-Sprache (Arabisch, Hebräisch usw.) behandelt wird, was der Bedrohungsakteur dann nur noch mit seiner Zieldomäne berücksichtigen muss, um sich erfolgreich zu verstecken. So würde beispielsweise eine manipulierte URL "gepj.xyz" als harmlose JPEG-Bilddatei "zyx.jpeg" erscheinen, während eine manipulierte URL "kpa.li" als APK-Datei "li.apk" erscheinen würde, usw. Hinter den URLs kann sich dann vieles verbergen, sodass das Spoofing sehr schwer zu erkennen ist.