URL-Trick ermöglicht WhatsApp-, Signal- und iMessage-Phishing

Seit Jahren ist ein Trick bekannt, mit dem Cyberkriminelle be­lieb­te Messenger-Dienste wie WhatsApp-, Signal- oder iMes­sage für Phishing missbrauchen können. Die Hinterleute kön­nen da­bei URLs nutzen, die legitim aussehen - zum Beispiel von apple.com oder google.com. Das geht aus einem Bericht des Online-Magazins Bleeping Computer hervor. Die zugrunde liegenden Sicherheitslücken sind teilweise seit 2019 bekannt und bringen Nutzer der meistverbreiteten Messaging- und E-Mail-Plattformen wie Instagram, iMessage, WhatsApp, Signal und Facebook Messenger in Gefahr. Neuer Wind kommt nun in die Sache, da jetzt ein Proof of Concept aufgetaucht ist. Infografik WhatsApp, Instagram & Co: Wie Jugendliche am liebsten kommunizierenWhatsApp, Instagram & Co: Wie Jugendliche am liebsten kommunizieren Bei den Schwachstellen handelt es sich um Rendering-Fehler, die dazu führen, dass die Benutzeroberfläche der Apps URLs mit eingefügten RTLO (right to left override) Unicode-Steuerzeichen falsch anzeigt, wodurch der Benutzer für URI-Spoofing-Angriffe anfällig wird. Der Anzeigefehler ermöglich es den Bedrohungsakteuren, legitim aussehende Phishing-Nachrichten zu erstellen und so reihenweise Opfer zu finden.

Dem Anschein nach vertrauenswürdige Domänen

Wenn ein RTLO-Zeichen in eine Zeichenkette eingefügt wird, veranlasst es einen Browser oder eine Messaging-App, die Zeichenkette von rechts nach links statt in der normalen Ausrichtung von links nach rechts anzuzeigen. Dieses Zeichen wird vor allem für die Anzeige von arabischen oder hebräischen Nachrichten verwendet. Auf diese Weise können für Phishing-Angriffe vertrauenswürdige Domänen in Nachrichten gefälscht werden und sie als legitime und vertrauenswürdige Subdomänen von apple.com oder google.com erscheinen lassen.

Den Schwachstellen wurden die folgenden CVEs zugewiesen, und es ist bekannt, dass sie in den folgenden Versionen von IM-Anwendungen funktionieren:

  • CVE-2020-20093 - Facebook Messenger 227.0 oder früher für iOS und 228.1.0.10.116 oder früher auf Android
  • CVE-2020-20094 - Instagram 106.0 oder früher für iOS und 107.0.0.11 oder früher unter Android
  • CVE-2020-20095 - iMessage 14.3 oder älter für iOS
  • CVE-2020-20096 - WhatsApp 2.19.80 oder früher für iOS und 2.19.222 oder früher unter Android

Bei Github wurde dazu nun vor Kurzem ein Proof of Concept veröffentlicht. Die Schwachstellen werden möglicherweise schon seit längerer Zeit aktiv ausgenutzt.

Phishing, Malware, Spoofing

Nach dem eingeschleusten RTLO-Steuerzeichen wird die URL umgekehrt, da sie als "Rechts-nach-Links"-Sprache (Arabisch, Hebräisch usw.) behandelt wird, was der Bedrohungsakteur dann nur noch mit seiner Zieldomäne berücksichtigen muss, um sich erfolgreich zu verstecken. So würde beispielsweise eine manipulierte URL "gepj.xyz" als harmlose JPEG-Bilddatei "zyx.jpeg" erscheinen, während eine manipulierte URL "kpa.li" als APK-Datei "li.apk" erscheinen würde, usw. Hinter den URLs kann sich dann vieles verbergen, sodass das Spoofing sehr schwer zu erkennen ist.

Download WhatsApp Desktop - Windows-Client Siehe auch: App, iOS, Facebook, Messenger, whatsapp, Instant Messaging, Social Media, Telegram, Threema App, iOS, Facebook, Messenger, whatsapp, Instant Messaging, Social Media, Telegram, Threema Thomas Ulrich/CC0
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen
Jetzt als Amazon Blitzangebot
Ab 11:20 Uhr Cat 8 LAN Kabel 10m, Swecent 40Gbps Netzwerkkabel Hochgeschwindigkeits 2000MHz S/FTP Ethernet Kabel POE Gigabit RJ45 Nylon geflochtener Runde Vergoldeter Patchkabel für PS5/4 Router Modem TVCat 8 LAN Kabel 10m, Swecent 40Gbps Netzwerkkabel Hochgeschwindigkeits 2000MHz S/FTP Ethernet Kabel POE Gigabit RJ45 Nylon geflochtener Runde Vergoldeter Patchkabel für PS5/4 Router Modem TV
Original Amazon-Preis
11,99
Im Preisvergleich ab
?
Blitzangebot-Preis
10,19
Ersparnis zu Amazon 15% oder 1,80
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!