Разделы

Безопасность Стратегия безопасности Интернет Интернет-ПО Техника

В WhatsApp, iMessage и Signal уже три года можно легко подделывать сообщения, отправляя жертв на вредоносные сайты

Исследователи безопасности обратили внимание на крайне простую технику, которая в течение последних трех лет позволяла злоумышленникам создавать правдоподобные фишинговые сообщения в iMessage, WhatsApp, Signal и прочих популярных мессенджерах. Пользователи Telegram в безопасности.

Раздолье для фишинга

Популярные мессенджеры для мобильных устройств содержат уязвимость, которая позволяет злоумышленнику с легкостью генерировать убедительно выглядящие фишинговые сообщения. По информации портала Bleeping Computer, проблеме не менее трех лет.

Проблеме подвержены такие программы для обмена сообщениями как Facebook Messenger, Instagram, WhatsApp (принадлежат Meta, которая признана экстремистской организацией и запрещена в России), Apple iMessage, Signal.

Корень проблемы лежит в некорректном выводе (рендеринге) упомянутыми приложениями интернет-адресов (URL) с внедренным символом RTLO в интерфейсе обмена сообщениями.

RTLO (Right-to-left-override, знак справа-налево) – невидимый управляющий символ Unicode с кодом U+202E, который применяется для переключения направления вывода текста на экран в режим «справа налево». Это актуально для языков с письмом справа налево, например, арабского или иврита.

mess600.jpg
Пользователям популярных мобильных мессенджеров следует быть внимательнее при переходе по ссылкам

Атакующий может сформировать ссылку из двух частей, разделенных символом RTLO, – адреса хорошо известного доверенного ресурса и URL сайта, на который необходимо заманить жертву. Пример такой строки: “https://google.com/xyz.jpeg”.

Для невнимательного или неопытного пользователя мессенджера подобная ссылка может показаться достаточно правдоподобной и безобидной – можно предположить, что она указывает на графический файл формата JPEG, хранящийся на серверах поисковика Google. Однако же если перед “xyz.jpeg” расположен RTLO-символ, то такая ссылка на самом деле направит пользователя на адрес “https://gepj.xyz”, который мог бы быть предварительно зарегистрирован злоумышленником. То есть, кликнув по такой ссылке, пользователь рискует попасть совершенно не туда, куда планировал и даже не сразу это осознать.

Давняя уязвимость

Как отмечает Bleeping Computer, данная серия уязвимостей была обнаружена еще в 2019 г. специалистом по безопасности под псевдонимом zadewg, однако информация о ней не получила широкого распространения.

В рамках мониторинга Twitter-аккаунта CVE Program независимый исследователь с никнеймом Sick.Codes наткнулся на описания брешей под идентификаторами CVE-2020-20093 (актуальна для Facebook Messenger версии 227.0 и более ранних для iOS и 228.1.0.10.116 и более ранних для Android); CVE-2020-20094 (Instagram 106.0 и более ранних для iOS и 107.0.0.11 или более ранних для Android); CVE-2020-20095 (iMessage 14.3 или более старых) для iOS); CVE-2020-20096 (WhatsApp 2.19 или более ранних для iOS и 2.19.222 или более ранних для Android).

Александр Осипов, МегаФон: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов
безопасность

Связанный с уязвимостью в защищенном мессенджере Signal идентификатор в базе отсутствует, поскольку Sick.Codes уведомил о ней компанию-разработчика совсем недавно.

В Bleeping Computer обратили внимание в ходе тестирования данной техники подмены URL на одну странность: в iMessage, Signal и Gmail собранная из двух частей ссылка хоть визуально и представляется пользователю цельной, на практике нажатия на нее ближе к началу (слева, до разделителя в виде незримого RTLO-символа) и ближе к концу дадут совершенно разный результат.

Ряд тестов, проведенных журналистами издания, показал, что хитрость с использование RTLO не работает должным образом в Gmail, Outlook.com и ProtonMail. Эти сервисы игнорируют спецсимвол, заменяя его на шестнадцатеричный эквивалент “%E2%80AE”.

Круг уязвимого ПО может быть шире

Sick.Codes опубликовал на Github PoC, представляющий из себя shell-скрипт. Эта, по сути однострочная программа, с которой сможет управиться практический любой, даже не имеющий каких-либо хакерских навыков, человек. Как отмечает Bleeping Computer, техника обмана при помощи двунаправленного текста широко используется злоумышленниками, причем существуют и куда более изощренные способы применения данная возможности, заложенной в юникод. По мнению журналистов, описанный трюк скорее всего может быть провернут в отношении пользователей других мобильных мессенджеров и приложений электронной почты. Национальный институт стандартов и технологий США (NIST) заинтересовался проблемой и попытается оценить ее масштаб.

Примечательно, что у Telegram к данной технике иммунитет – разработчики программы для обмена сообщениями с российскими корнями в числе первых позаботились о том, чтобы обезопасить пользователей.

Дмитрий Степанов