Signal na iOS z luką. Oszuści mogli łatwo manipulować

Signal w wersji na iOS miał do niedawna niebezpieczną lukę. Dzięki prostej sztuczce oszuści mogli w łatwy sposób manipulować swoimi ofiarami. W zasadzie nie dało się przed tym obronić.

Signal
Signal
Kamil J. Dudek

Oszuści chwytają się różnych metod, by upolować ofiarę. Jedną z nietypowych, aczkolwiek prostych w założeniach metod, mogli do niedawna wykorzystać w aplikacji Signal w wersji na iOS. Przez pewną lukę możliwe było wysyłanie niebezpiecznych linków, choć wyglądały one w pełni naturalnie. Nie dało się dostrzec zagrożenia.

O sprawie poinformował serwis Sekurak. Jak czytamy w artykule, oszuści mogli wykorzystywać metodę RTLO (right to left override). Technika ta pozwala na wyświetlenie przesłanego linku od tyłu, dzięki umieszczeniu na początku wiadomości specjalnego ciągu znaków.

Przedstawiony przykład pokazuje możliwość wysłania wiadomości, którą odbiorca odczyta jako typowy odnośnik do grafiki umieszczonej w serwisie Imgur. Adres, który wyświetlał się w komunikatorze to: imgur.com/#files/ten.jpeg

W rzeczywistości przesłany link prowadził pod adres gepj.net/segami#/moc.rugmi, który mógłby być w teorii niebezpieczną stroną przygotowaną przez oszustów. Efekt taki został osiągnięty dzięki umieszczeniu na początku wiadomości sekwencji znaków "<0x202e>", które pozwalały na wyświetlenie linku od tyłu.

Podatność aplikacji Signal w wersji na iOS została usunięta wraz z aktualizacją 5.34.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (25)