image

Signal voor iOS kwetsbaar voor uri-spoofing via RTLO-aanval

vrijdag 15 april 2022, 08:05 door Redactie, 2 reacties

Een kwetsbaarheid in de versleutelde chatapp Signal maakte het mogelijk voor aanvallers om legitiem lijkende links te versturen die in werkelijkheid naar een malafide locatie of bestanden wezen. Vorige week verscheen er een beveiligingsupdate voor de app. Details van het probleem zijn gisteren bekendgemaakt.

RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam of uri kan worden omgedraaid. Deze techniek werd jaren geleden geregeld toegepast bij aanvallen op Windows-gebruikers. In 2019 ontdekte een beveiligingsonderzoeker dat een RTLO-aanval ook tegen iMessage, WhatsApp, Instagram en Facebook Messenger werkte. De chatapps kwamen uiteindelijk met een oplossing voor het probleem.

Eind maart bleek dat een dergelijke aanval ook tegen Signal werkte. De chatapp gaf RTLO encoded url's die met een non-breaking space begonnen en een hash-karakter in de url hadden niet goed weer. Daardoor is het mogelijk om naar legitiem lijkende domeinen of bestanden te linken die in werkelijkheid naar malafide domeinen of bestanden wijzen. Zo wordt gepj.net/selif#/moc.rugmi door Signal weergegeven als imgur.com/#files/ten.jpeg.

Signal werd op 24 maart over het probleem ingelicht, dat wordt aangeduid als CVE-2022-28345. Op 7 april verscheen Signal 5.34 die een fix voor de kwetsbaarheid bevat. Gisteren besloot een onderzoeker met het alias "Sick Codes" de details van het beveiligingslek openbaar te maken.

Reacties (2)
15-04-2022, 09:06 door buttonius
Responsible disclosure gevolgd door een fix in twee weken. Zo zou je het vaker willen zien.
Mijn vertrouwen in signal is nog steeds hoog.
18-04-2022, 14:45 door Anoniem
Door buttonius: Responsible disclosure gevolgd door een fix in twee weken. Zo zou je het vaker willen zien.
Mijn vertrouwen in signal is nog steeds hoog.
Tja, fijne app en snelle fix, maar je gaat er wel aan voorbij dat ze deze kwetsbaarheid in 2019 gemist hebben (of het is een regressie bug). Als in alle grote chat apps die RTLO kwetsbaarheid zit dan check je toch ook je eigen code.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.