ASA-2019-00155 – Telegram: Ataques homógrafos em nomes de domínios internacionalizados (IDN)


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00155

Identificador(es)

ASA-2019-00155, CVE-2019-10044

Título

Ataques homógrafos em nomes de domínios internacionalizados (IDN)

Fabricante(s)

Telegram Messenger LLP

Produto(s)

Telegram para iPhone e iPad
Telegram para Android
Telegram para Windows
Telegram para Linux

Versão(ões) afetada(s)

Todas as versões do Telegram para iPhone e iPad
Todas as versões do Telegram para Android
Todas as versões do Telegram para Windows
Todas as versões do Telegram para Linux

Versão(ões) corrigida(s)

Telegram para Windows 1.5.12
A situação dos outros produtos é desconhecida

Prova de conceito

Desconhecido

Descrição

Telegram (testado em todas as versões móveis e Linux e Windows para desktop) é vulnerável a um ataque de homógrafo de IDN ao exibir mensagens contendo URLs.

O ataque de homógrafos é uma vulnerabilidade de segurança que pode levar os usuários a pensarem que estão visitando um determinado site quando, na verdade, eles são direcionados para um nome de domínio diferente, mas homólogo. Esse tipo de vulnerabilidade pode ser usado para potencializar a engenharia social, aumentando as chances de um ataque bem-sucedido.

Ao receber uma mensagem com um link, o Telegram a renderiza em um formato clicável e a fonte usada para exibir a mensagem torna impossível distinguir entre a URL legítima e a URL mal-intencionada, por exemplo:

URL legítima: http://blazeinfosec.com
URL maliciosa: http: //blаzeinfosec.com – com o ‘a’ como um caracter cirílico, não latim

Além disso, o Telegram renderiza uma prévia do site, tornando-o ainda mais enganoso para um usuário.

Ao clicar no link malicioso, um usuário será levado para http://xn--blzeinfosec-zij.com/ em vez do real http://blazeinfosec.com, apesar do fato de o link ser exibido exatamente como esperado na web local.

Um exemplo de cenário de ataque contra um usuário do Telegram:

  • Um ativista ou pessoa de interesse usa o Telegram
  • A pessoa recebe uma URL em uma mensagem do Telegram disfarçada de legítima, o Telegram processa uma prévia
  • O usuário clica no link
  • A URL maliciosa serve para explorar um navegador com apenas um clique
  • O alvo é infectado por malware para dispositivos móveis ou desktop

Além disso, as versões para dispositivos móveis e desktop do Tor Browser são vulneráveis ​​à mesma classe de ataque. Portanto, os usuários do Telegram com o navegador Tor são propensos a ataques de phishing completos.

Detalhes técnicos

Desconhecido

Créditos

Julio Cesar Fort (Blaze Information Security)

Referência(s)

Security advisory: Telegram instant messenger IDN homograph attack
https://wildfire.blazeinfosec.com/security-advisory-telegram/

CVE-2019-10044
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10044

CVE-2019-10044
https://nvd.nist.gov/vuln/detail/CVE-2019-10044

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 25 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.