Instagram, iMessage, WhatsApp, Signal ve Facebook Messenger dahil olmak üzere dünyanın önde gelen mesajlaşma ve e-posta platformlarını etkileyen bir işleme tekniği, tehdit aktörlerinin son üç yıldır meşru görünen kimlik avı mesajları oluşturmasına olanak sağladı.
Güvenlik açıkları, uygulama arayüzünün enjekte edilmiş RTLO ile URL’leri yanlış görüntülemesine neden olan hatalar oluşturuyor (sağdan sola geçersiz kılma) Unicode kontrol karakterleri, kullanıcıyı URI sızdırma saldırılarına karşı savunmasız hale getirir.
Bir dizeye bir RTLO karakteri enjekte ederken, bir tarayıcının veya mesajlaşma uygulamasının dizeyi normal soldan sağa yönlendirmesi yerine sağdan sola görüntülemesine neden olur. Bu karakter ağırlıklı olarak Arapça veya İbranice mesajların görüntülenmesi için kullanılır.
Bu, kimlik avı saldırılarının WhatsApp, iMessage, Instagram, Facebook Messenger ve Signal’de kullanıcılara gönderilen mesajlarda güvenilir alan adlarını taklit ederek, bu mesajların apple.com veya google.com’un meşru ve güvenilir alt alanları olarak görünmesini sağlar.
Güvenlik açıklarına aşağıdaki CVE’ler atanmıştır ve aşağıdaki IM uygulamaları sürümlerinde çalıştığı bilinmektedir:
CVE-2020-20093 – iOS için Facebook Messenger 227.0 veya öncesi ve Android için 228.1.0.10.116 veya öncesi
CVE-2020-20094 – iOS için Instagram 106.0 veya öncesi ve Android için 107.0.0.11 veya öncesi
CVE-2020-20095 – iOS için iMessage 14.3 veya daha eskisi
CVE-2020-20096 – iOS için WhatsApp 2.19.80 veya öncesi ve Android için 2.19.222 veya öncesi
Signal’in karşılık gelen bir CVE ID’si yok çünkü özel saldırı yöntemi onlara kısa süre önce ifşa edildi.
Keşif ve PoC
CVE kimlikleri çok eski çünkü güvenlik açıklarının ilk keşfi Ağustos 2019’da ‘zadewg’ adlı bir araştırmacı tarafından gerçekleşti.
serbest güvenlik araştırmacısı Sick.Codes kusurları fark ettiğinde CVE Programı yakın zamanda bunları Twitter’da yayınladı ve daha fazla araştırmaya karar verdi.
Sick.Codes, deposunu halka açıklayıp açıklamadığını sormak için araştırmacıya ulaştı ve araştırmacı, bunca zamandan sonra CVE’lerin şimdi piyasaya sürülmesine şaşırarak yanıt verdi.
Araştırmacı, yalnızca videoda gösterilen kusurlardan yararlanma yöntemi hakkında daha fazla bilgi paylaşmak konusunda isteksizdi, bu nedenle Sick.Codes, istismarı kendi başına kopyalamaya ve bunun için bir kavram kanıtı (PoC) yazmaya karar verdi.
İki güvenlik araştırmacısı, cihazın derhal serbest bırakılması konusunda anlaştılar. GitHub’da PoC çünkü güvenlik açıkları uzun süredir aktif olarak istismar ediliyor olabilir.
İstismar, iOS ve Android’in gTLD’lere olan güvenini ve çift yönlü metin görüntüleme desteğini kötüye kullanan tek satırlık bir saldırıdır ve iki geçerli URL arasına tek bir “\u202E” kontrol karakteri eklemek kadar basittir.
Örneğin, yayınlanan PoC, maskeli ve tıklanabilir URL için google.com’u kötüye kullanır ve hedef olarak bit.ly/3ixIRwm’yi ayarlar.
Enjekte edilen RTLO kontrol karakterinden sonra, URL’ye “sağdan sola” bir dil (Arapça, İbranice, vb.)
Örneğin, hazırlanmış bir ‘gepj.xyz’ URL’si kullanmak, zararsız JPEG resim dosyası ‘zyx.jpeg’ olarak görünürken, “kpa.li” oluşturmak bir APK dosyası ‘li.apk’ olarak görünür, vb.
Gerçekte, bu hedefler her şeye ev sahipliği yapabilir, bu nedenle kimlik sahtekarlığı son derece zor ve tespit edilmesi zor.
Ancak, BleepingComputer bu hatayı iMessage, Signal ve hatta Gmail’de test ederken bazı tuhaflıklar fark etti. Örneğin, birleştirilmiş URL’ler tek bir URL olarak görünebilirken, aslında iki URL olarak kabul edilirler.
Bu, bir kullanıcı URL’nin sol tarafına tıklarsa Google.com’a, sağ tarafa tıklarsa BleepingComputer.com’a gidecekleri anlamına gelir.
Daha da garip, iOS 15’teki iMessage, mesaj listesi önizleme ekranında metni ters olarak gösterirken, asıl mesajdaki ters dizeyi kaldırır.
BleepingComputer tarafından yürütülen diğer testler, bu işleme kusurunun Gmail, Outlook.com veya ProtonMail’de beklendiği gibi çalışmadığını gösteriyor.
URL, ters metinle birlikte tek bir dize olarak görüntülenirken, köprüdeki RTLO Unicode karakteri, aşağıdaki gibi bir URL bırakarak onaltılık eşdeğerine dönüştürülür:
http://www.google.com/%E2%80%AEwww.bleepingcomputer.com
Etki ve düzeltmeler
Tek satırlı PoC, genel kullanıma açıktır ve teknik anlayışı zayıf olan veya bilgisayar korsanlığı becerisi olmayan kişiler tarafından bile kullanımı kolaydır.
Aslında, var bol kanıt ile ilgili RTLO tabanlı daha karmaşık teknik kavramları içerdiğinde bile vahşi doğada sömürü.
Aynı saldırı muhtemelen daha birçok anlık ileti ve e-posta uygulaması için de geçerlidir, ancak yalnızca yukarıda belirtilenlerin savunmasız olduğu onaylanmıştır.
Telegram da eskiden savunmasızdı, ancak sorunu bir güvenlik güncellemesiyle ele alan ilk kişi oldu.
Ayrıca Signal’in geliştirme ekibi Sick.Codes’un raporuna hemen yanıt verdi ve araştırmacıya uygulamanın bir sonraki sürümünde bir düzeltme geleceğini söyledi.
Sick.Codes, BleepingComputer’a yukarıda listelenen mesajlaşma uygulamalarının bu işleme yöntemine karşı hala savunmasız olduğunu söyledi.
NIST şu anda güvenlik açıklarının kapsamını ve etkisini araştırmaktadır, bu nedenle geçmiş sürümlerde düzeltilmişlerse kuruluş tarafından yakında belirlenecektir.
Bu nedenle, söz konusu uygulamaların kullanıcıları, URL içeren iletileri alırken dikkatli olmalı, her zaman sol tarafa tıklamalı ve sorunu giderebilecek gelen uygulama güvenlik güncellemeleri için tetikte kalmalıdır.
Sick.Codes, test edilen tüm uygulamalarda oluşturma yönteminin hala işlevsel olduğunu söyledi ve tüm IM uygulamalarının kullanıcılarına şu önerilerde bulundu:
“Her şeyde, özellikle posta uygulamalarında ve bildirimlerle ilgili her şeyde bağlantı önizlemelerini kapatın. Pop-up’ları olan garip web sitelerini ziyaret etmeyin. Rastgele ödül çekilişlerine tıklamayın.
Zaten bir telefonunuz var, bu nedenle yer imlerinizi kullanın ve güncel tuttuğunuzdan emin olun. Özellikle iOS için yakın zamanda açıklananlar olmak üzere, etrafta uçuşan sıfır gün sayısı göz önüne alındığında, anlık iletilerdeki URL’lere güvenmek tehlikeli olacaktır.”
hastalık kodları
RTLO Unicode karakterleri meşru bir kullanıma sahip olduğundan, meşru işlevselliği bozabileceğinden mesajlaşma uygulamalarının bunu düzeltip düzeltmeyeceği net değildir.
Bleeping Computer, bunun ne zaman düzeltileceğini öğrenmek için etkilenen uygulamaların satıcılarıyla iletişime geçti ve bir yanıt alır almaz bu gönderiyi güncelleyeceğiz.