
Infografik WhatsApp, Instagram & Co: Wie Jugendliche am liebsten kommunizieren
Bei den Schwachstellen handelt es sich um Rendering-Fehler, die dazu führen, dass die Benutzeroberfläche der Apps URLs mit eingefügten RTLO (right to left override) Unicode-Steuerzeichen falsch anzeigt, wodurch der Benutzer für URI-Spoofing-Angriffe anfällig wird. Der Anzeigefehler ermöglich es den Bedrohungsakteuren, legitim aussehende Phishing-Nachrichten zu erstellen und so reihenweise Opfer zu finden.
Dem Anschein nach vertrauenswürdige Domänen
Wenn ein RTLO-Zeichen in eine Zeichenkette eingefügt wird, veranlasst es einen Browser oder eine Messaging-App, die Zeichenkette von rechts nach links statt in der normalen Ausrichtung von links nach rechts anzuzeigen. Dieses Zeichen wird vor allem für die Anzeige von arabischen oder hebräischen Nachrichten verwendet. Auf diese Weise können für Phishing-Angriffe vertrauenswürdige Domänen in Nachrichten gefälscht werden und sie als legitime und vertrauenswürdige Subdomänen von apple.com oder google.com erscheinen lassen.Den Schwachstellen wurden die folgenden CVEs zugewiesen, und es ist bekannt, dass sie in den folgenden Versionen von IM-Anwendungen funktionieren:
- CVE-2020-20093 - Facebook Messenger 227.0 oder früher für iOS und 228.1.0.10.116 oder früher auf Android
- CVE-2020-20094 - Instagram 106.0 oder früher für iOS und 107.0.0.11 oder früher unter Android
- CVE-2020-20095 - iMessage 14.3 oder älter für iOS
- CVE-2020-20096 - WhatsApp 2.19.80 oder früher für iOS und 2.19.222 oder früher unter Android
Bei Github wurde dazu nun vor Kurzem ein Proof of Concept veröffentlicht. Die Schwachstellen werden möglicherweise schon seit längerer Zeit aktiv ausgenutzt.