Een kwetsbaarheid in de versleutelde chatapp Signal maakte het mogelijk voor aanvallers om legitiem lijkende links te versturen die in werkelijkheid naar een malafide locatie of bestanden wezen. Vorige week verscheen er een beveiligingsupdate voor de app. Details van het probleem zijn gisteren bekendgemaakt.
RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam of uri kan worden omgedraaid. Deze techniek werd jaren geleden geregeld toegepast bij aanvallen op Windows-gebruikers. In 2019 ontdekte een beveiligingsonderzoeker dat een RTLO-aanval ook tegen iMessage, WhatsApp, Instagram en Facebook Messenger werkte. De chatapps kwamen uiteindelijk met een oplossing voor het probleem.
Eind maart bleek dat een dergelijke aanval ook tegen Signal werkte. De chatapp gaf RTLO encoded url's die met een non-breaking space begonnen en een hash-karakter in de url hadden niet goed weer. Daardoor is het mogelijk om naar legitiem lijkende domeinen of bestanden te linken die in werkelijkheid naar malafide domeinen of bestanden wijzen. Zo wordt gepj.net/selif#/moc.rugmi door Signal weergegeven als imgur.com/#files/ten.jpeg.
Signal werd op 24 maart over het probleem ingelicht, dat wordt aangeduid als CVE-2022-28345. Op 7 april verscheen Signal 5.34 die een fix voor de kwetsbaarheid bevat. Gisteren besloot een onderzoeker met het alias "Sick Codes" de details van het beveiligingslek openbaar te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.