Exploit de um clique no KakaoTalk

 (stulle123.github.io)
27 pontos por wedding 2024-06-26 | 15 comentários | Compartilhar no WhatsApp

Devido a um problema na validação de deeplinks do KakaoTalk no 10.4.3, um invasor remoto pode executar JavaScript arbitrário no WebView e vazar tokens de acesso dos cabeçalhos de requisições HTTP. Em última instância, esse token pode ser usado para registrar um dispositivo controlado pelo invasor, assumir a conta de outro usuário e ler mensagens de chat. Esse bug foi identificado como CVE-2023-51219. Além disso, as ferramentas são divulgadas para que outros pesquisadores de segurança possam investigar a ampla superfície de ataque do KakaoTalk e encontrar mais bugs.

Leituras relacionadas

15 comentários

 
bluekai17 2024-06-27

https://github.com/stulle123/kakaotalk_analysis/…

Parece ser o conteúdo trocado com a Kakao.

Parece que o começo do conteúdo é a última carta.
Eles não preferem revelar publicamente a vulnerabilidade, mas já que você vai publicar, seria bom abrir o material ocultando a identidade da Kakao...
 
bluekai17 2024-06-27

2023-12-13 06:37
Olá novamente,
Primeiro, pedimos que você não publique uma postagem no blog. Como o programa de bug bounty da Kakao é baseado, em princípio, na não divulgação de informações, os detalhes sobre a vulnerabilidade não podem ser tornados públicos, independentemente de ela ter sido corrigida ou não.
Em segundo lugar, não temos planos de solicitar um CVE ID.
Entendemos que isso possa ser decepcionante para você, mas esta é a nossa política, então não podemos evitar. Pessoalmente, também lamento muito.
Agradecemos pela compreensão.

2023-12-13 13:22
Olá!
Você poderia informar até quando pretendem resolver o problema?
Será junto com a próxima versão do KakaoTalk?
Obrigado

2024-01-02 15:44
Feliz Ano Novo!
Há alguma novidade sobre o problema?
A vulnerabilidade foi corrigida na versão mais recente do KakaoTalk?
Obrigado

2024-01-03 02:16
Olá,
Aqui é a equipe de segurança da Kakao.
As medidas para essa vulnerabilidade ainda estão em andamento.
Por favor, tenha isso em mente.

CommerceBuyActivity
Correção prevista antes de fevereiro de 2024.
m.shoppinghow.kakao.com
As medidas foram concluídas.
Conta de e-mail da Kakao
As medidas estão em discussão.
Obrigado,
Equipe de Segurança da Kakao

2024-01-08 20:47
Olá, equipe de segurança da Kakao,
Obrigado pela resposta.
Gostaria de deixar um feedback sobre o programa de bug bounty:
Acho muito arriscado para a empresa limitar as recompensas do bounty apenas a cidadãos coreanos.
Isso pode levar pesquisadores de segurança internacionais a não reportarem as vulnerabilidades diretamente para a empresa e, em vez disso, recorrerem a outras formas de divulgação irresponsável (fóruns clandestinos, mercado negro etc.).

2024-01-09 02:06
Muito obrigado pelo valioso feedback. Levamos as sugestões dos usuários a sério e estamos sempre fazendo o nosso melhor para melhorar continuamente nossos serviços. Seu feedback será cuidadosamente analisado por nossa equipe e refletido em melhorias futuras.
Desejamos a você um Ano Novo próspero e feliz!

2024-01-28 16:57
Olá!
Há alguma atualização? A vulnerabilidade foi corrigida?
Obrigado, stullenfoo

2024-01-29 03:28
Olá.
Antes de mais nada, agradecemos seu interesse contínuo.
No momento, estamos corrigindo essa vulnerabilidade e esperamos resolvê-la dentro de fevereiro. Se precisar de informações adicionais ou ajuda, avise-nos.
Obrigado,

2024-02-18 12:47
Olá,
Há alguma atualização?
Percebi que https://buy.kako.com está offline e que https://m.shoppinghow.kakao.com/m/product/…;%3E agora está codificando aspas duplas. Então parece que a vulnerabilidade XSS foi corrigida.
O app Android também foi corrigido?
Obrigado,

2024-03-12 12:14
Olá novamente,
Vocês corrigiram o bug remanescente no app Android?
Obrigado,
stullenfoo

2024-03-14 02:08
Olá,
O problema no KakaoTalk para Android foi resolvido, e a correção foi incluída na versão 1.9.0. Agradecemos seu interesse e apoio contínuos.

2024-03-14 11:14
Olá,
Que boa notícia!
Como o problema foi resolvido, gostaria de informar que pretendo escrever uma postagem no blog sobre isso.
Em relação à publicação da postagem no blog, esta cláusula de recurso exclusivo do Artigo 18 permite isso, já que não recebi recompensa:
⑤ O "membro" pode recusar concordar com a obrigação de confidencialidade. No entanto, nesse caso, o uso do "programa" não será possível.
Além disso, como declarado nos termos de serviço, este programa se aplica apenas a coreanos e, na verdade, eu não tenho cidadania coreana.
Antes de publicar a postagem no blog online, vou compartilhá-la.

2024-03-15 03:06
Antes de tudo, agradecemos sinceramente pelo excelente relatório e pelo seu engajamento contínuo.
Preferimos não divulgar publicamente a vulnerabilidade, mas respeitamos e valorizamos seu ponto de vista.
Se você decidir escrever uma postagem no blog sobre este tema, pedimos que oculte qualquer informação que possa revelar a identidade da nossa empresa.
Obrigado.
 
xguru 2024-06-27

Exploit de 1 clique encontrado no maior app de chat móvel da Coreia
Consulte também o resumo traduzido pelo GN+.
 
wedding 2024-06-27

Administrador, será que não existe uma função para editar o conteúdo?
A tradução ficou estranha, então eu queria adicionar o link que você anexou, mas não consigo encontrar uma forma de editar.
 
xguru 2024-06-28

Infelizmente... não há função de edição. Provavelmente, quem for ver vai conferir junto com aquele link ^^;;
 
ragingwind 2024-06-26

> Como a recompensa só pode ser recebida por coreanos, nós não pudemos receber nenhuma compensação.

Eles fizeram uma boa ação e ainda deixaram margem para receber críticas. Uma pena.
 
bluekai17 2024-06-27

Boa ação = o estrangeiro que reportou a vulnerabilidade
Coisa para ser criticada = o estrangeiro que reportou a vulnerabilidade ver um texto dizendo que a recompensa só pode ser recebida por coreanos

Isso faz sentido??
 
nvkzrx 2024-06-27

Coisa boa: pagar uma recompensa a quem reportou a vulnerabilidade
Motivo que pode render críticas: ter limitado o pagamento apenas a coreanos

É assim que eu entendo, mas
 
nemorize 2024-06-28

A nuance do comentário original parece ser algo como algo digno de elogio, mas fico pensando... o ruim(?) é não pagar uma recompensa em dinheiro (ou uma compensação simbólica), e pagar é que seria algo louvável?
 
savvykang 2024-06-26

Quem é a parte que faz algo bom e acaba sendo criticada? O denunciante ou a Kakao?
 
hhkkkk 2024-06-26

Não entendi muito bem quem foi que deixou margem para ser criticado.
 
xguru 2024-06-26

> Reportamos essa vulnerabilidade em dezembro de 2023 por meio do programa de bug bounty da Kakao. No entanto, como a recompensa só pode ser recebida por coreanos, não recebemos nenhuma compensação🤯
> Como medida corretiva imediata, a Kakao tirou do ar https://buy.kakao.com e removeu o redirecionamento /auth/0/cleanFrontRedirect?returnUrl=.

Eita
 
2024-06-26
[Este comentário foi ocultado.]
 
laeyoung 2024-06-26

• A conta bancária necessária para receber a recompensa deve ser emitida por um banco nacional e estar limitada a uma conta em nome do próprio “membro”.
• É necessário ser um cidadão coreano residente na Coreia ou no exterior, e, em caso de residência em um país sujeito a sanções econômicas, o pagamento da recompensa poderá ser recusado.

O programa de bounty é totalmente restrito a coreanos.
O teto da recompensa final está definido em 10 milhões de won; para uma empresa do porte da Kakao, fica bem decepcionante que não ofereçam mais.
 
nullptr 2024-06-26

https://github.com/stulle123/kakaotalk_analysis/…
Parece ser a mensagem enviada pela pessoa que encontrou a falha, mas o tratamento relacionado, incluindo a política de bug bounty, deixa um pouco a desejar...