Instagram, iMessage, Whatsapp, Sinyal ve Facebook Messenger dahil olmak üzere dünyanın önde gelen mesajlaşma ve e-posta platformlarını etkileyen bir işleme tekniği, tehdit aktörlerinin son üç yıldır meşru görünümlü kimlik avı mesajları yaratmalarını sağladı.
Güvenlik açıkları, uygulamaların arabiriminin, enjekte edilen RTLO (sağdan sola doğru) olan URL'leri (sağdan sola doğru) olan URL'leri yanlış görüntülenerek, kullanıcıyı URI Sahtekarlık saldırılarına açık hale getiren hataları ortaya çıkarır.
Bir dizede bir RTLO karakteri enjekte ederken, bir tarayıcı veya mesajlaşma uygulamasının, dizeyi normal soldan sağa yönelit yerine sağa soldan görüntülemesine neden olur. Bu karakter ağırlıklı olarak Arapça veya İbranice mesajlarının gösterilmesi için kullanılır.
Bu, kimlik avı saldırılarını, WhatsApp, IMessage, Instagram, Facebook Messenger ve Sinyal'deki kullanıcılara gönderilen mesajlar üzerinde güvenilir etki alanlarını ortadan kaldırır, bunları Apple.com'un veya Google.com'un meşru ve güvenilir alt alanları olarak görünmesini sağlıyor.
Güvenlik açıkları aşağıdaki CVES'e atanmış ve IM uygulamalarının aşağıdaki sürümlerinde çalıştığı bilinmektedir:
CVE-2020-20093 - Facebook Messenger 227.0 veya iOS ve 228.1.0.10.116 veya önce AndroidCVE-2020-20094'te - Instagram106.0 veya önceki IOS ve 107.0.0.11 veya AndroidCVE-2020.20095'ten önce - IMSESSAGAGE 14.3 veya ioscve-2020-20096 için daha yaşlı - WhatsApp 2.19.80 veya iOS ve 2.19.222 veya Android için öncesinde
Sinyal, ilgili bir CVE kimliğine sahip değildir, çünkü belirli bir saldırı yöntemi onlara yakın zamanda açıklandı.
CVE kimlikleri çok yaşlılar çünkü güvenlik açıklarının ilk keşfi Ağustos 2019'da 'Zadewg' adlı bir araştırmacı tarafından gerçekleşti.
Serbest Güvenlik Araştırması Sick.Codes, CVE programının yakın zamanda Twitter'da yayınladığı ve daha fazlasını araştırmaya karar verdiğinde kusurları fark etti.
SICK.CODES, deposunu halka açıklamış ya da olmadığını sormak için araştırmacıya ulaştı ve araştırmacı, her şeyden önce, şimdi serbest bırakılan CVES hakkında sürprizle cevap verdi.
Araştırmacı, yalnızca videoda gösterilen kusurları sömürme yöntemi hakkında daha fazla bilgi paylaşmak için isteksizdi, bu yüzden SICK.
İki güvenlik araştırması, güvenlik açıklarından uzun süredir aktif bir şekilde sömürü altında olabildiğinden beri, GitHub'daki POC'un derhal serbest bırakılmasında kabul etti.
Exploit, iOS ve Android'in GTLD'lerin güvenini ve iki yönlü metni görüntülemek için destek olan bir astardır ve iki geçerli URL arasında '\ U202E' '\ U202E' eklenmesi kadar basittir.
Örneğin, serbest bırakılan POC, Google.com'u maskelenmiş ve tıklanabilir URL için suistimal eder ve hedef olarak bit.ly/3ixirwm'ü belirler.
Enjekte edilen RTLO kontrol karakterinden sonra, URL, "sağdan sola" bir dil (Arapça, İbranice vb.) Olarak tedavi etmekten dolayı ters çevrilir, bu nedenle tehdit aktörünün hedef etki alanını kaydederken dikkate alması gerekir.
Örneğin, hazırlanmış bir 'Gepj.xyz' URL'si kullanarak, "KPA.LI" işçiliği yaparken, "KPA.LI" 'ı bir APK dosyası' Li.Apk ', vb.
Gerçekte, bu varış yerleri her şeyi barındırabilir, böylece sahtekarlık oldukça zor ve zorludur.
Bununla birlikte, BleepingComputer, bu hatayı iMessage, sinyal ve hatta Gmail'de test ederken bazı özellikleri fark etti. Örneğin, birleştirilen URL'ler tek bir URL olarak görünebilirken, aslında iki URL olarak muamele edilir.
Bu, eğer bir kullanıcı URL'nin sol tarafını tıklatırsa, Google.com'a gidecekler ve sağ tarafa tıklarlarsa, BleepingComputer.com'a gidecektir.
Yabancı bile yabancı, iOS 15'deki imessage, mesaj listesi önizleme ekranında tersini gösterir, ters dizgiyi gerçek mesajda kaldırır.
BleepingComputer tarafından yapılan diğer testler, bu işleme kusurunun Gmail, Outlook.com'da veya Protonmail'de beklendiği gibi çalışmadığını göstermektedir.
URL, ters meteli olan tek bir dize olarak görüntülenirken, köprüdeki RTLO Unicode karakteri onaltılık eşdeğerine dönüştürülür ve şöyle bir URL'yi bırakır:
Tek astarlı POC, fakir teknik anlayışlı insanlar tarafından bile kullanmanın halka açık ve basittir.
Aslında, daha karmaşık teknik kavramlar içerdiğinde bile, vahşi doğada RTLO tabanlı sömürü kanıtı var.
Aynı saldırı, muhtemelen daha birçok IM ve e-posta uygulamasına uygulanabilir, ancak yalnızca yukarıda belirtilenler savunmasız olarak doğrulanmıştır.
Telgraf da savunmasızdı, ancak sorunu bir güvenlik güncelleştirmesiyle karşılayan ilk oldu.
Ayrıca, sinyalin geliştirme ekibi, HAST.CODES'ün raporuna hemen cevap verdi ve araştırmacının bir düzeltme uygulamasının bir sonraki sürümüne geldiğini söyledi.
Sick.Codes, BleepingComputer'a yukarıda listelenen mesajlaşma uygulamalarının hala bu işleme yöntemine karşı savunmasız olduğunu söyledi.
NIST şu anda güvenlik açıklarının kapsamı ve etkisini araştırıyor, bu yüzden geçmiş versiyonlarda düzeltilmişlerse, kuruluş tarafından yakında belirlenecek.
Bu nedenle, söz konusu uygulamaların kullanıcıları, URL'leri içeren mesaj alırken, her zaman sol tarafa tıkladığınızda ve sorunu çözebilecek gelen uygulama güvenlik güncelleştirmeleri için uyarıda kalır.
Sick.Codes, işleme yönteminin tüm test edilen uygulamalarda hala işlevsel olduğunu söyledi ve tüm IM uygulamalarının kullanıcılarını aşağıdakileri önerdiğini söyledi:
"Her şeyde bağlantı önizlemelerini kapatın, özellikle posta uygulamaları ve bildirimler ile ilgili herhangi bir şey. Pop-up ile garip web sitelerini ziyaret etmeyin. Rastgele Ödül Giveaway'i tıklatmayın.
Zaten bir telefonunuz var, bu yüzden yer imlerinizi kullanın ve güncel tutacağınızdan emin olun. Etrafında uçan sıfır günlerin miktarı göz önüne alındığında, özellikle IOS için son zamanlarda açıklananlar, IMS'de URL'lere güvenmek için tehlikeli olurdu. "
Hasta kodları
RTLO Unicode Karakterleri meşru bir kullanıma sahip olduğundan, mesajlaşma uygulamaları bunu meşru işlevselliği kırabileceği için düzeltilecekse açık değildir.
Bleeping Computer, etkilenen uygulamaların satıcılarıyla iletişim kurdu, bunun ne zaman düzeltileceğini öğrenmek için ve bu yazıyı bir yanıt alır almaz güncelleyeceğiz.
Meta ve Chime Sue Facebook'un arkasındaki Nijeryalılar, instagram kimlik avı
Finlandiya Facebook hesaplarının haberci kimlik avı ile saldırıya uğradı
Kimlik Avı Kitleri sürekli güvenlik yazılımını kaçırmak için gelişir
Yeni Mustang Panda Hack Kampanyası Diplomatları Hedefliyor, ISS'ler
Yeni Kimlik Avı Toolkit, kimsenin sahte krom tarayıcı pencereleri oluşturmasını sağlar
Kaynak: Bleeping Computer