Phishing-Angriffe über eine in WhatsApp entdeckte Clickjacking-Schwachstelle möglich

 (00xbyte.github.io)
1 Punkte von GN⁺ 2023-12-23 | 1 Kommentare | Auf WhatsApp teilen

Entdeckungsprozess

  • Es wurde untersucht, wie WhatsApp über die Link-Vorschau-Funktion HTTP-Anfragen ausführt.
  • Dabei wurde bestätigt, dass Link und Vorschau getrennt übertragen werden, und es gelang, eine Nachricht zu erzeugen, deren Vorschau sich vom tatsächlichen Link unterscheidet.

Problem Nr. 1 – Nichtübereinstimmung bei Link-Vorschauen

  • Die in WhatsApp-Nachrichten enthaltenen Link- und Vorschau-Daten wurden analysiert, um eine Unstimmigkeit zu erzeugen.
  • Durch das Abfangen und Verändern der Nachricht gelang es, eine Nachricht zu versenden, bei der Vorschau und tatsächlicher Link voneinander abweichen.

Problem Nr. 2 – Link-Verschleierung (2K2E)

  • Es wurde erprobt, wie sich die Textdarstellung mithilfe von Unicode-Zeichen verändern lässt.
  • Mit dem Zeichen U+202E (Right-To-Left Override) wurde ein Link in umgekehrter Reihenfolge dargestellt, wodurch sich eine gefälschte URL wie eine echte URL anzeigen lässt.

Endergebnis

  • Es wurde eine URL erzeugt, die wie Instagram aussieht, tatsächlich aber auf den Blog des Angreifers verweist.
  • Dadurch wurde eine Schwachstelle entdeckt, die Nutzer dazu bringen kann, einen gefälschten Link für einen legitimen zu halten und darauf zu klicken.

Angriffsszenario

  • Der Angreifer kauft eine gefälschte Domain und erstellt eine Nachricht, die die Vorschau einer legitimen Domain verwendet.
  • Die Eigenschaft matchedText wird entfernt und die Eigenschaft text mit dem Zeichen U+202E und einer gefälschten URL verändert, um die Nachricht zu manipulieren.
  • Die so manipulierte Nachricht wird an das Opfer gesendet.

Reaktion von Meta

  • Meta verfügt über ein System, das die URL-Normalisierungslogik dynamisch anpassen kann, da zahlreiche Plattformen und Umgebungen unterstützt werden.
  • Meta scheint jedoch nicht die Absicht zu haben, dieses Sicherheitsproblem zu beheben, sondern nur zu reagieren, wenn es als Spam erkannt wird.

Abmilderung

  • Da Meta offenbar nicht beabsichtigt, dieses Problem zu beheben, sind Links in WhatsApp nicht vertrauenswürdig.
  • Vor dem Klicken sollte ein Link kopiert und in der Zwischenablagen-Vorschau die von U+202E bereinigte Link-Adresse geprüft werden.

Update

  • Neben WhatsApp gibt es auch andere Dienste, die aufgrund unzureichender Bereinigung anfällig für 2K2E sind.

GN⁺-Meinung:

  • Das Wichtigste an diesem Artikel ist die in WhatsApp entdeckte Clickjacking-Schwachstelle, bei der detailliert beschrieben wird, wie Nutzer dazu gebracht werden können, auf gefälschte Links zu klicken, die sich von den tatsächlichen Links unterscheiden.
  • Interessant ist der Artikel, weil in einer Messaging-Plattform, der man normalerweise vertraut, eine unerwartete Sicherheitslücke gefunden wurde. Das erinnert Nutzer daran, vor dem Anklicken von Links stets vorsichtig zu sein.
  • Außerdem zeigt Metas Reaktion, dass es keinen erkennbaren Willen gibt, das Problem aktiv zu beheben, was unterstreicht, dass Nutzer selbst noch stärker auf ihre Sicherheit achten müssen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-12-23
Hacker-News-Kommentare
  • Eine clevere Kombination aus dem Missbrauch von Funktionen, aber die Auswirkungen auf die Sicherheit werden als gering eingeschätzt, da ein zusätzlicher Angriff erforderlich ist, sofern der Angreifer nicht Polizei, Geheimdienste oder Ähnliches ist. Der technischen Genauigkeit halber halte ich es nicht für angemessen, dies als "Clickjacking" zu bezeichnen. Clickjacking bezeichnet eine bestimmte Technik, bei der ein unsichtbarer HTML-Frame über andere Inhalte gelegt wird.
  • Clickjacking bedeutet, dass ein anderes Element als das, auf das der Nutzer eigentlich klicken wollte, das Klick-Ereignis abfängt. Der Angreifer kann erkennen, worauf der Nutzer geklickt hat. Was der OP gefunden hat, ist cool: Er hat in einem anderen System als beim eigentlichen Clickjacking einen Weg gefunden, die Linkanzeige zu verändern.
  • Nutzer tun sich schwer damit, Domains beim Klicken auf Links zu erkennen, und viele verstehen sie nicht oder können sie nicht unterscheiden. Obwohl der Link nachverfolgbar ist und verdächtig aussieht, schlägt niemand Alarm.
  • Meta sollte anerkennen und beheben, dass die Nachrichten-URL und die Vorschau-URL unterschiedlich sein können. Das könnte dazu dienen, URL-Kürzer aufzulösen, aber Meta und WhatsApp sollten in der Lage sein, eine clevere Lösung zu finden.
  • Das eigentliche Problem ist nicht WhatsApp oder Unicode-Zeichen mit umgekehrter Schreibrichtung, sondern dass URLs selbst schwierig sind. Selbst einfache URLs wie visa.securesite.com täuschen viele Menschen. Es sieht nicht so aus, als gäbe es in naher Zukunft eine gute Lösung.
  • Enttäuschend, dass Meta dieses Problem nicht behoben und dem Forscher keine Bug-Bounty ausgezahlt hat.
  • Interessant, dass dieser Angriff als "Reverse Engineering" eingestuft wurde.
  • RTL war schon immer eine große Quelle für Sicherheitslücken. Es sollte in Betriebssystemen eine Einstellung geben, um RTL zu deaktivieren, damit Menschen, die es nicht verwenden, diesem Risiko nicht ausgesetzt sind.
  • Der Angriff ist sehr cool, und der Artikel lässt sich leicht lesen und verstehen. Ich habe nur grundlegende Fragen dazu, ob ein Debugger für die WhatsApp-Web-App verwendet wurde, ob es auf dem Smartphone durchgeführt wurde oder ob ein Emulator zum Einsatz kam.
  • Danke fürs Teilen dieser interessanten Idee und Schwachstelle. Eine knappe und klare Zusammenfassung.
  • Es wurde bestätigt, dass Link und Vorschau getrennt gesendet werden. Das größere Problem ist ein UI-Design, bei dem Nutzer zur Sicherheit Link und Vorschau miteinander vergleichen müssen.