ASA-2019-00154 – Signal: Ataques homógrafos em nomes de domínios internacionalizados (IDN)


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00154

Identificador(es)

ASA-2019-00154, CVE-2019-9970

Título

Ataques homógrafos em nomes de domínios internacionalizados (IDN)

Fabricante(s)

Signal Messenger, LLC

Produto(s)

Signal Desktop
Signal para Android

Versão(ões) afetada(s)

Signal Desktop versões até 1.23.1
Signal para Android versões até 4.35.3

Versão(ões) corrigida(s)

Desconhecido

Prova de conceito

Desconhecido

Descrição

O Signal Desktop e Android estão vulneráveis ​​a um ataque de homógrafos de IDN ao exibir mensagens contendo URLs.

O ataque de homógrafos é uma vulnerabilidade de segurança que pode levar os usuários a pensarem que estão visitando um determinado site quando, na verdade, eles são direcionados para um nome de domínio diferente, mas homólogo. Esse tipo de vulnerabilidade pode ser usado para potencializar a engenharia social, aumentando significativamente as chances de um ataque bem-sucedido.

Ao receber uma mensagem com um link, o Signal renderiza em um formato clicável e a fonte usada para exibir a mensagem torna impossível distinguir entre a URL legítimo e a URL malicioso, por exemplo:

URL legítimo: http://blazeinfosec.com
URL malicioso: http: //blazeinfosec.com – com o ‘a’ como um caracter cirílico, não latim

Ao clicar no link malicioso, um usuário será levado para http://xn--blzeinfosec-zij.com/ em vez do real http://blazeinfosec.com, apesar do fato de o link ser exibido exatamente como esperado na web local.

Um exemplo de cenário de ataque contra um usuário móvel do Signal:

  • Um ativista ou pessoa de interesse usa Signal para Android
  • A pessoa recebe um URL em uma mensagem do Signal disfarçada como legítima e clica no link
  • A URL maliciosa serve para explorar um navegador com apenas um clique
  • O alvo é infectado por malware móvel

Além disso, a versão móvel do Tor Browser (Orfox, no Android) é vulnerável à mesma classe de ataque. Portanto, os usuários do Signal com Tor Browser (que não parece ser uma combinação rara) são vulneráveis ​​a ataques de phishing completos.

Detalhes técnicos

Desconhecido

Créditos

Julio Cesar Fort (Blaze Information Security)

Referência(s)

Signal IDN homograph attacks
https://github.com/blazeinfosec/advisories/blob/c70c90bc7f8d82d4d20c42260770cbdeec834623/signal-advisory.txt

Security advisory: Signal IDN homograph attack
https://wildfire.blazeinfosec.com/security-advisory-signal-idn-homograph-attack-2/

CVE-2019-9970
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9970

CVE-2019-9970
https://nvd.nist.gov/vuln/detail/CVE-2019-9970

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 25 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.