Open Whisper Systems dicht variant van rce-lek in desktopversie van Signal

Open Whisper Systems heeft binnen korte tijd twee varianten van een lek in Signal Desktop gedicht waarmee een aanvaller via speciale berichten in staat was om op afstand code uit te voeren op het systeem van een gebruiker, ook wel remote code execution of rce genoemd.

De tweede en nieuwste variant, met kenmerk CVE-2018-11101, is beschreven in een blogpost van beveiligingsonderzoeker Matthew Bryant. Hij kwam er op basis van eerder onderzoek van anderen achter dat het mogelijk is om een gebruiker van de desktopversie van Signal een bericht te sturen met html-inhoud. Als de aanvaller dit bericht vervolgens citeerde, werd de inhoud door de desktopapplicatie gezien als html-code. Daardoor was het bijvoorbeeld mogelijk om via een iframe code uit te voeren op het systeem van de gebruiker. De nieuwste versie met nummer 1.11.0 van Signal Desktop bevat een patch die binnen enkele uren na de melding door de onderzoeker was doorgevoerd.

De bevindingen van Bryant lijken op die van de onderzoekers Alfredo Ortega, Iván Ariel Barrera Oro en Juliano Rizzo, die eerder deze week de details van een soortgelijk cross-site scripting-lek in Signal Desktop publiceerden. Zij ontdekten de eerste variant van de kwetsbaarheid toen ze een Argentijnse overheidssite onderzochten op lekken en met elkaar communiceerden via de desktopclient van Signal, die is gebaseerd op het Electron-framework. Ze merkten dat een kwetsbaarheid in de site ook voorkwam in de desktopclient. Hun variant, met kenmerk CVE-2018-10994, gebruikte eveneens html-tags om code uit te voeren, maar zonder dat het nodig was het bericht te citeren. Ook toen wist het Signal-team het lek binnen enkele uren te dichten.

De mobiele versie van de chatapp was nooit getroffen door deze kwetsbaarheden, die werkten op verschillende desktopbesturingssystemen.

Demonstratie van de tweede variant

Door Sander van Voorst

Nieuwsredacteur

Feedback • 17-05-2018 10:05 18

17-05-2018 • 10:05

18

Lees meer

Chatapp Signal voegt optie toe om gezichten te vervagen
Chatapp Signal voegt optie toe om gezichten te vervagen Nieuws van 4 juni 2020
Amazon: Signal moet stoppen met domain fronting
Amazon: Signal moet stoppen met domain fronting Nieuws van 2 mei 2018
Nieuwe Signal-stichting krijgt 50 miljoen dollar van WhatsApp-medeoprichter
Nieuwe Signal-stichting krijgt 50 miljoen dollar van WhatsApp-medeoprichter Nieuws van 22 februari 2018
Open Whisper Systems vervangt Signal-extensie door zelfstandige desktopclient
Open Whisper Systems vervangt Signal-extensie door zelfstandige desktopclient Nieuws van 1 november 2017
Meer producten en artikelen
Netwerk en systeembeheer Security Signal

Reacties (18)

-Moderatie-faq
18
18
14
4
0
0
Wijzig sortering

Sorteer op:

Weergave:
WhatsappHack
17 mei 2018 11:20
Mooi om te zien dat ze zo snel reageren en patches publiceren, zo hoort het! :)
L0we @WhatsappHack17 mei 2018 15:25
Uit bovengenoemde link: https://ivan.barreraoro.c...sktop-html-tag-injection/
However, the patch caught my attention: it was a big regex and I was surprised how fast they wrote it. So I decided to check on the file’s history to observe since when it has been vulnerable and I found this wonderful mistake: the applied “patch” already existed, but was (accidentally?) removed in a commit on April 10th to fix an issue with linking (I guess the issue is back 😛 ). I’m still not convinced about that regex and I’m afraid someone might exploit it, specially those resourceful three-letter agencies…
Verwijderd 17 mei 2018 11:29
Zal wel in de C library versie van het Signal protocol zitten, is mijn vermoeden. Nee, zit in het Electorn framework.

Ik blijf het verkeerd vinden dat ontwikkelaars systeem programmering talen gebruiken om applicaties te bouwen. Je krijgt dan dit soort beveiligingsfouten, die je met applicatie talen zoals Java, C# of Pascal niet zo snel krijgt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:53]

Crazy Harry @Verwijderd17 mei 2018 12:19
Volgens mij zit daar het probleem niet.
Volgens mij zit het in het verwerken van berichten als html-code, of beter gezegd, de blijkbare wens om dat te doen (mij lijkt dat als die wens er niet was, ze het überhaupt niet zouden doen).
Een IM die zich richt op privacy moet het zo simpel mogelijk houden en alle tekst enkel verwerken als platte tekst. Geen poespas als HTML-rendering want dat maakt het alleen maar complexer en zoals we zien introduceert het fouten die aan het fundament van de applicatie knagen.

En met welke programmeertaal je het dan doet maakt niet uit. Dat je een framework gebruikt is erger, daarbij moet je zeker weten dat je alle functionaliteit die je niet wil, eruit gesloopt hebt.

[Reactie gewijzigd door Crazy Harry op 22 juli 2024 16:53]

Verwijderd @Crazy Harry17 mei 2018 12:44
Je kan niet zomaar een RCE (remote code execution) krijgen met een veilige applicatie programmeertaal, ook al maak je een fout in de programmering.
Binnux @Verwijderd17 mei 2018 12:47
Bewust?
Hier lijkt het probleem door html code te ontstaan. Van de week was html ook het probleem bij PGP (clients). (niet html maar de interpretatie ervan)
Verwijderd @Binnux17 mei 2018 16:30
Zoiets in een webomgeving implementeren is natuurlijk wel extreem onvoorzichtig.
SeenD @Verwijderd18 mei 2018 00:21
Ja eens, dit is wel een hele knullige "bug"... Dit voorspelt weinig goeds voor de rest van de software. Welke elementen van de rest van software hebben ze ook zo onvoorzichtig geïmplementeerd.

[Reactie gewijzigd door SeenD op 22 juli 2024 16:53]

Verwijderd @SeenD18 mei 2018 00:56
De code kwaliteit van de Android app is erg goed, die van de iOS app kan ik niet beoordelen. Ik gebruik de Android app veel maar heb geen PC versie in gebruik.
Binnux @Crazy Harry17 mei 2018 12:39
Gaat steeds meer worden dan, lijkt mij, dat ernstige fouten ingebakken worden door blok-gebruik van techniek. Ik zie in de praktijk nog wel eens dat er gewerkt wordt met "blokken" om de zaak snel klaar te krijgen waar ik als "bejaarde programmeur" de kriebels van krijg want ik wil weten hoe en wat in dat blok werkt. Maar tegenwoordig is snel beter dan goed.
Verwijderd @Crazy Harry17 mei 2018 16:25
Die "blijkbare wens" zit in Electron. Dit soort dingen kun je inderdaad verwachten als je zo dom bent zoiets in webtalen te gaan ontwikkelen.
Verwijderd 17 mei 2018 10:29
Open Whisper Systems dicht variant van rce-lek in desktopversie van Signal
Als ik zo'n kop lees dan denk ik: "waar gaat dit in hemelsnaam over?".
Ik word duidelijk te oud voor dit soort shit :P
Aardedraadje @Verwijderd17 mei 2018 10:35
Open Whisper Systems is de ontwikkelaar van een chat-app genaamd Signal. Hiervan is ook een desktop-variant. Er is onlangs een RCE-lek gevonden. RCE staat in dit geval voor Remote Code Execution. Men kon dus binnen de context van de applicatie code uitvoeren. Dat is kwalijk omdat dit er mogelijk toe kan leiden dat geheime chats gestolen worden door een kwaadwillende partij. Het lek is nu dus opgelost.

Ik weet niet of het je al duidelijk was, maar bij deze. :D
edit: typo

[Reactie gewijzigd door Aardedraadje op 22 juli 2024 16:53]

Dutch PCBuilds @Aardedraadje17 mei 2018 14:49
Overigens gebruikt whatsapp de end-to-end encryptie van Open Whisper Systems :) Daar zijn ze mogelijk nog wel meer bekend van.
Bux666 17 mei 2018 10:35
Altijd mooi om dan een dikke typo te zien in een demo ('You have been PWONED') die dan overal gebruikt wordt... :+
codeclap @Bux66617 mei 2018 12:06
Het is alleen geen typo maar met opzet zo gedaan (insider joke schijnbaar)

Zie https://ivan.barreraoro.c...sktop-html-tag-injection/
Note: most PoCs says “hacktheplanet” and “PWONED“, those are jokes for us 🙂
jimshatt 17 mei 2018 16:08
Signal? Je bedoelt dat superveilige programma dat we met z'n allen in de plaats van PGP moeten gaan gebruiken van de EFF?
/sneer
bluegoaindian @jimshatt18 mei 2018 02:02
Signal? Je bedoelt dat superveilige programma dat we met z'n allen in de plaats van PGP moeten gaan gebruiken van de EFF?
/sneer
desktop client!
en het is gefixed.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq