Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Open Whisper Systems dicht variant van rce-lek in desktopversie van Signal

Open Whisper Systems heeft binnen korte tijd twee varianten van een lek in Signal Desktop gedicht waarmee een aanvaller via speciale berichten in staat was om op afstand code uit te voeren op het systeem van een gebruiker, ook wel remote code execution of rce genoemd.

De tweede en nieuwste variant, met kenmerk CVE-2018-11101, is beschreven in een blogpost van beveiligingsonderzoeker Matthew Bryant. Hij kwam er op basis van eerder onderzoek van anderen achter dat het mogelijk is om een gebruiker van de desktopversie van Signal een bericht te sturen met html-inhoud. Als de aanvaller dit bericht vervolgens citeerde, werd de inhoud door de desktopapplicatie gezien als html-code. Daardoor was het bijvoorbeeld mogelijk om via een iframe code uit te voeren op het systeem van de gebruiker. De nieuwste versie met nummer 1.11.0 van Signal Desktop bevat een patch die binnen enkele uren na de melding door de onderzoeker was doorgevoerd.

De bevindingen van Bryant lijken op die van de onderzoekers Alfredo Ortega, Iván Ariel Barrera Oro en Juliano Rizzo, die eerder deze week de details van een soortgelijk cross-site scripting-lek in Signal Desktop publiceerden. Zij ontdekten de eerste variant van de kwetsbaarheid toen ze een Argentijnse overheidssite onderzochten op lekken en met elkaar communiceerden via de desktopclient van Signal, die is gebaseerd op het Electron-framework. Ze merkten dat een kwetsbaarheid in de site ook voorkwam in de desktopclient. Hun variant, met kenmerk CVE-2018-10994, gebruikte eveneens html-tags om code uit te voeren, maar zonder dat het nodig was het bericht te citeren. Ook toen wist het Signal-team het lek binnen enkele uren te dichten.

De mobiele versie van de chatapp was nooit getroffen door deze kwetsbaarheden, die werkten op verschillende desktopbesturingssystemen.

Demonstratie van de tweede variant

Door Sander van Voorst

Nieuwsredacteur

17-05-2018 • 10:05

18 Linkedin Google+

Reacties (18)

Wijzig sortering
Mooi om te zien dat ze zo snel reageren en patches publiceren, zo hoort het! :)
Uit bovengenoemde link: https://ivan.barreraoro.c...sktop-html-tag-injection/
However, the patch caught my attention: it was a big regex and I was surprised how fast they wrote it. So I decided to check on the file’s history to observe since when it has been vulnerable and I found this wonderful mistake: the applied “patch” already existed, but was (accidentally?) removed in a commit on April 10th to fix an issue with linking (I guess the issue is back 😛 ). I’m still not convinced about that regex and I’m afraid someone might exploit it, specially those resourceful three-letter agencies…
Zal wel in de C library versie van het Signal protocol zitten, is mijn vermoeden. Nee, zit in het Electorn framework.

Ik blijf het verkeerd vinden dat ontwikkelaars systeem programmering talen gebruiken om applicaties te bouwen. Je krijgt dan dit soort beveiligingsfouten, die je met applicatie talen zoals Java, C# of Pascal niet zo snel krijgt.

[Reactie gewijzigd door ArtGod op 17 mei 2018 11:33]

Volgens mij zit daar het probleem niet.
Volgens mij zit het in het verwerken van berichten als html-code, of beter gezegd, de blijkbare wens om dat te doen (mij lijkt dat als die wens er niet was, ze het überhaupt niet zouden doen).
Een IM die zich richt op privacy moet het zo simpel mogelijk houden en alle tekst enkel verwerken als platte tekst. Geen poespas als HTML-rendering want dat maakt het alleen maar complexer en zoals we zien introduceert het fouten die aan het fundament van de applicatie knagen.

En met welke programmeertaal je het dan doet maakt niet uit. Dat je een framework gebruikt is erger, daarbij moet je zeker weten dat je alle functionaliteit die je niet wil, eruit gesloopt hebt.

[Reactie gewijzigd door Crazy Harry op 17 mei 2018 12:20]

Je kan niet zomaar een RCE (remote code execution) krijgen met een veilige applicatie programmeertaal, ook al maak je een fout in de programmering.
Bewust?
Hier lijkt het probleem door html code te ontstaan. Van de week was html ook het probleem bij PGP (clients). (niet html maar de interpretatie ervan)
Zoiets in een webomgeving implementeren is natuurlijk wel extreem onvoorzichtig.
Ja eens, dit is wel een hele knullige "bug"... Dit voorspelt weinig goeds voor de rest van de software. Welke elementen van de rest van software hebben ze ook zo onvoorzichtig geïmplementeerd.

[Reactie gewijzigd door SeenD op 18 mei 2018 08:24]

De code kwaliteit van de Android app is erg goed, die van de iOS app kan ik niet beoordelen. Ik gebruik de Android app veel maar heb geen PC versie in gebruik.
Gaat steeds meer worden dan, lijkt mij, dat ernstige fouten ingebakken worden door blok-gebruik van techniek. Ik zie in de praktijk nog wel eens dat er gewerkt wordt met "blokken" om de zaak snel klaar te krijgen waar ik als "bejaarde programmeur" de kriebels van krijg want ik wil weten hoe en wat in dat blok werkt. Maar tegenwoordig is snel beter dan goed.
Die "blijkbare wens" zit in Electron. Dit soort dingen kun je inderdaad verwachten als je zo dom bent zoiets in webtalen te gaan ontwikkelen.
Open Whisper Systems dicht variant van rce-lek in desktopversie van Signal
Als ik zo'n kop lees dan denk ik: "waar gaat dit in hemelsnaam over?".
Ik word duidelijk te oud voor dit soort shit :P
Open Whisper Systems is de ontwikkelaar van een chat-app genaamd Signal. Hiervan is ook een desktop-variant. Er is onlangs een RCE-lek gevonden. RCE staat in dit geval voor Remote Code Execution. Men kon dus binnen de context van de applicatie code uitvoeren. Dat is kwalijk omdat dit er mogelijk toe kan leiden dat geheime chats gestolen worden door een kwaadwillende partij. Het lek is nu dus opgelost.

Ik weet niet of het je al duidelijk was, maar bij deze. :D
edit: typo

[Reactie gewijzigd door CykoByte op 17 mei 2018 15:50]

Overigens gebruikt whatsapp de end-to-end encryptie van Open Whisper Systems :) Daar zijn ze mogelijk nog wel meer bekend van.
Altijd mooi om dan een dikke typo te zien in een demo ('You have been PWONED') die dan overal gebruikt wordt... :+
Het is alleen geen typo maar met opzet zo gedaan (insider joke schijnbaar)

Zie https://ivan.barreraoro.c...sktop-html-tag-injection/
Note: most PoCs says “hacktheplanet” and “PWONED“, those are jokes for us 🙂
Signal? Je bedoelt dat superveilige programma dat we met z'n allen in de plaats van PGP moeten gaan gebruiken van de EFF?
/sneer
Signal? Je bedoelt dat superveilige programma dat we met z'n allen in de plaats van PGP moeten gaan gebruiken van de EFF?
/sneer
desktop client!
en het is gefixed.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True