Possibilité d’attaques de phishing via une vulnérabilité de clickjacking découverte dans WhatsApp

 (00xbyte.github.io)
1 points par GN⁺ 2023-12-23 | 1 commentaires | Partager sur WhatsApp

Processus de découverte

  • Recherche sur la manière dont WhatsApp effectue des requêtes HTTP via la fonctionnalité d’aperçu des liens.
  • Vérification que le lien et l’aperçu sont envoyés séparément, puis réussite à créer un message dont l’aperçu diffère du lien réel.

Problème n°1 - Incohérence de l’aperçu du lien

  • Analyse du lien inclus dans les messages WhatsApp et des données d’aperçu afin de trouver un moyen de créer une incohérence.
  • Interception et modification du message, avec succès dans l’envoi d’un message dont l’aperçu et le lien réel sont différents.

Problème n°2 - Déguisement de lien (2K2E)

  • Expérimentation de méthodes pour modifier la représentation du texte à l’aide de caractères Unicode.
  • Utilisation du caractère U+202E (Right-To-Left Override) pour afficher le lien à l’envers, et développement d’une méthode permettant de faire passer une fausse URL pour une véritable.

Résultat final

  • Création d’une URL semblant pointer vers Instagram, mais menant en réalité vers le blog de l’attaquant.
  • Mise en évidence d’une vulnérabilité permettant d’inciter l’utilisateur à cliquer en croyant qu’il s’agit d’un lien légitime.

Scénario d’attaque

  • L’attaquant achète un faux domaine et crée un message utilisant l’aperçu d’un domaine légitime.
  • Il supprime l’attribut matchedText et modifie l’attribut text avec le caractère U+202E et une fausse URL pour manipuler le message.
  • Le message ainsi altéré est ensuite envoyé à la victime.

Réaction de Meta

  • Meta dispose d’un système capable d’ajuster dynamiquement la logique de normalisation des URL, car l’entreprise prend en charge de nombreuses plateformes et environnements.
  • Cependant, Meta ne semble pas avoir l’intention de corriger ce problème de sécurité et ne réagirait qu’en cas de détection comme spam.

Mesures d’atténuation

  • Puisque Meta ne semble pas vouloir corriger ce problème, les liens dans WhatsApp ne peuvent pas être considérés comme fiables.
  • Avant de cliquer sur un lien, il faut le copier et vérifier dans l’aperçu du presse-papiers l’adresse du lien après neutralisation du caractère U+202E.

Mise à jour

  • Outre WhatsApp, d’autres services sont également vulnérables à 2K2E faute de neutralisation appropriée.

Avis de GN⁺ :

  • Le point le plus important de cet article est la vulnérabilité de clickjacking découverte dans WhatsApp, avec une explication détaillée d’une méthode d’attaque qui pousse les utilisateurs à cliquer sur un faux lien différent du lien réel.
  • Ce qui rend cet article intéressant, c’est qu’une faille de sécurité inattendue a été découverte dans une plateforme de messagerie généralement considérée comme fiable, ce qui rappelle aux utilisateurs qu’ils doivent toujours faire preuve de prudence avant de cliquer sur un lien.
  • En outre, la réaction de Meta montre une absence de volonté de résoudre activement ce problème, ce qui souligne la nécessité pour les utilisateurs d’être eux-mêmes encore plus vigilants sur le plan de la sécurité.

À lire aussi

1 commentaires

 
GN⁺ 2023-12-23
Commentaires sur Hacker News
  • Une combinaison astucieuse de détournements de fonctionnalités, mais l’impact en matière de sécurité est jugé faible, car des attaques supplémentaires sont nécessaires à moins que l’attaquant ne soit la police, une agence de renseignement, etc. Pour être techniquement exact, il ne semble pas approprié d’appeler cela du « clickjacking ». Le clickjacking désigne une technique précise consistant à superposer un cadre HTML invisible par-dessus un autre contenu.
  • Le clickjacking correspond au fait qu’un élément autre que celui sur lequel l’utilisateur pense cliquer intercepte l’événement de clic. L’attaquant peut savoir sur quoi l’utilisateur a cliqué. Ce qu’OP a trouvé est intéressant : une manière de modifier l’affichage des liens dans un autre système, ce qui n’est pas réellement du clickjacking.
  • Les utilisateurs ont du mal à reconnaître les domaines lorsqu’ils cliquent sur des liens, et beaucoup de gens ne les comprennent pas ou ne savent pas les distinguer. Le lien semble traçable et suspect, mais personne ne relève le problème.
  • Meta devrait reconnaître et corriger le problème selon lequel l’URL du message et l’URL de l’aperçu peuvent être différentes. Cela sert peut-être à résoudre les raccourcisseurs d’URL, mais Meta et WhatsApp devraient être capables de trouver une solution intelligente.
  • Le vrai problème, ce n’est ni WhatsApp ni les caractères Unicode inversés, mais le fait que les URL elles-mêmes sont difficiles. Même une URL simple comme visa.securesite.com trompe beaucoup de gens. Il ne semble pas qu’une bonne solution arrivera dans un avenir proche.
  • Déception que Meta n’ait pas corrigé ce problème et n’ait pas versé de bug bounty au chercheur.
  • Il est intéressant que cette attaque ait été classée comme du « reverse engineering ».
  • Le RTL a été une cause majeure de vulnérabilités de sécurité tout au long de son existence. Il devrait y avoir dans les systèmes d’exploitation un réglage permettant de désactiver le RTL afin que les personnes qui ne l’utilisent pas ne soient pas exposées à ce risque.
  • L’attaque est très élégante, et l’article est facile à lire et à comprendre. Question de base : est-ce qu’un débogueur a été utilisé sur l’application web WhatsApp, appliqué au téléphone, ou un émulateur a été utilisé ?
  • Merci d’avoir partagé cette idée intéressante et cette vulnérabilité. Le résumé est concis et clair.
  • Il est confirmé que le lien et l’aperçu sont envoyés séparément. Le fait qu’une interface oblige les utilisateurs à comparer le lien et l’aperçu pour leur sécurité constitue un problème plus important.