Портал BleepingComputer показал проблему безопасности, позволяющую злоумышленникам производить фишинговые атаки с помощью разных мессенджеров.
Исследователи безопасности обнаружили метод, с помощью которого можно создавать фишинговые сообщения в iMessage, Signal, WhatsApp и других мессенджерах (даже Gmail). Метод использует уязвимости, связанные с ошибкой рендеринга. Выглядит это так: URL-адреса с символами Unicode RTLO отображаются в приложениях неправильно, это позволяет делать подмену URL. Так, при вставке символа RTLO в браузер или мессенджер строка отображается справа налево, а не в обычном виде слева направо. Такой символ преимущественно используется для отображения сообщений на арабском языке или иврите.
Как приведено в примере у BleepingComputer, URL-адрес «gepj.xyz» отобразится как файл JPEG zyx.jpeg
, а файл kpa.li
с непонятным расширением будет отображаться как APK-файл li.apk
и все в таком виде. Это позволяет отправлять правдоподобные ссылки на надежные поддомены apple.com или google.com в сообщениях, отправляемых пользователям в WhatsApp, iMessage, Instagram, Facebook Messenger и Signal. Но разработчики некоторых приложений уже обещали выпустить соответствующий патч. Telegram тоже был уязвим для этого, но первым решил проблему с помощью обновления безопасности.
Однако BleepingComputer заметил некоторые особенности при тестировании этой ошибки в iMessage, Signal или Gmail. Например, объединенные URL-адреса могут отображаться как один адрес, но на самом деле они рассматриваются как два. Это означает, что если пользователь нажмет на левую часть URL-адреса, он перейдет на один адрес Google.com
, а если на правую сторону – на второй BleepingComputer.com
.
Соответствующие уязвимости в мессенджерах получили следующие идентификаторы: CVE-2020-20093 – Facebook* Messenger 227.0 и более ранние версии для iOS и 228.1.0.10.116 и более ранние для Android;
CVE-2020-20094 – Instagram* 106.0 и более ранние версии для iOS и 107.0.0.11 и более ранние для Android;
CVE-2020-20095 – iMessage 14.3 и более поздние версии для iOS;
CVE-2020-20096 – WhatsApp 2.19.80 и более ранние версии для iOS и 2.19.222 и более ранние для Android.
* запрещены в России