Eksploit sekali klik di KakaoTalk

 (stulle123.github.io)
27 poin oleh wedding 2024-06-26 | 15 komentar | Bagikan ke WhatsApp

Karena masalah validasi deep link di KakaoTalk 10.4.3, penyerang jarak jauh dapat mengeksekusi JavaScript arbitrer di WebView untuk membocorkan token akses dari header permintaan HTTP. Pada akhirnya, token ini dapat digunakan untuk mendaftarkan perangkat yang dikendalikan penyerang, mengambil alih akun pengguna lain, dan membaca pesan chat. Bug ini telah diberi identifier CVE-2023-51219. Selain itu, alat juga dirilis agar para peneliti keamanan lain dapat menyelidiki permukaan serangan KakaoTalk yang luas dan menemukan lebih banyak bug.

Bacaan terkait

15 komentar

 
bluekai17 2024-06-27

https://github.com/stulle123/kakaotalk_analysis/…

Ini adalah isi percakapan yang saling dipertukarkan dengan Kakao.

Sepertinya bagian awal dokumen ini adalah surat terakhir.
Mengungkapkan kerentanan secara publik bukanlah hal yang kami sukai, tetapi karena Anda akan mengunggahnya, kami berharap identitas Kakao disamarkan lalu dibuka...
 
bluekai17 2024-06-27

2023-12-13 06:37
Halo lagi,
Pertama-tama, kami meminta agar Anda tidak menerbitkan postingan blog. Program bug bounty Kakao pada dasarnya didasarkan pada kerahasiaan informasi, sehingga informasi tentang kerentanan tidak dapat diungkapkan, terlepas dari apakah masalah tersebut sudah diperbaiki atau belum.
Kedua, kami tidak berencana meminta CVE ID.
Kami memahami bahwa Anda mungkin kecewa, tetapi ini adalah kebijakan kami sehingga tidak ada yang bisa kami lakukan. Secara pribadi saya juga sangat menyesalkannya.
Terima kasih atas pengertiannya.

2023-12-13 13:22
Halo!
Bisakah Anda memberi tahu kapan Anda berencana menyelesaikan masalah ini?
Apakah bersamaan dengan rilis KakaoTalk berikutnya?
Terima kasih

2024-01-02 15:44
Selamat Tahun Baru!
Apakah ada kabar baru mengenai isu ini?
Apakah kerentanan ini sudah ditambal di versi KakaoTalk terbaru?
Terima kasih

2024-01-03 02:16
Halo,
Tim Keamanan Kakao.
Penanganan kerentanan ini masih berlangsung.
Mohon menjadi perhatian.

CommerceBuyActivity
Dijadwalkan akan ditambal sebelum Februari 2024.
m.shoppinghow.kakao.com
Penanganan telah selesai.
Akun email Kakao
Penanganannya sedang dibahas.
Terima kasih,
Tim Keamanan Kakao

2024-01-08 20:47
Halo Tim Keamanan Kakao,
Terima kasih atas balasannya.
Sebagai masukan untuk program bug bounty:
Menurut saya, membatasi hadiah bounty hanya untuk warga negara Korea sangat berisiko bagi perusahaan Anda.
Hal ini dapat mendorong peneliti keamanan internasional untuk tidak melaporkan kerentanan langsung kepada perusahaan Anda, dan sebagai gantinya menggunakan bentuk pengungkapan tidak bertanggung jawab lainnya (forum bawah tanah, black market, dll.).

2024-01-09 02:06
Terima kasih banyak atas masukan Anda yang sangat berharga. Kami menanggapi saran para pengguna dengan serius dan terus berupaya sebaik mungkin untuk meningkatkan layanan kami. Masukan Anda akan ditinjau secara menyeluruh oleh tim kami dan akan tercermin dalam perbaikan di masa mendatang.
Semoga Tahun Baru Anda penuh kemakmuran dan kebahagiaan!

2024-01-28 16:57
Halo!
Apakah ada pembaruan? Apakah kerentanan ini sudah diperbaiki?
Terima kasih,stullenfoo

2024-01-29 03:28
Halo.
Pertama-tama, terima kasih atas perhatian Anda yang berkelanjutan.
Saat ini kami sedang memperbaiki kerentanan ini dan memperkirakan akan selesai dalam bulan Februari. Jika Anda memerlukan informasi tambahan atau bantuan, silakan beri tahu kami.
Terima kasih,

2024-02-18 12:47
Halo,
Apakah ada pembaruan?
Saya melihat bahwa https://buy.kako.com sedang offline, dan https://m.shoppinghow.kakao.com/m/product/…;%3E sekarang mengenkode tanda kutip ganda. Jadi tampaknya kerentanan XSS sudah diperbaiki.
Apakah aplikasi Android juga sudah diperbaiki?
Terima kasih,

2024-03-12 12:14
Halo lagi,
Apakah Anda sudah memperbaiki bug yang tersisa di aplikasi Android?
Terima kasih,
stullenfoo

2024-03-14 02:08
Halo,
Masalah pada KakaoTalk Android telah diselesaikan, dan perbaikannya disertakan dalam versi 1.9.0. Terima kasih atas perhatian dan dukungan Anda yang berkelanjutan.

2024-03-14 11:14
Halo,
Itu kabar baik!
Karena masalahnya sudah diselesaikan, saya ingin memberi tahu bahwa saya berencana menulis postingan blog terkait hal ini.
Terkait penerbitan postingan blog, upaya hukum eksklusif ini dalam Pasal 18 mengizinkan hal tersebut karena saya tidak menerima imbalan apa pun:
⑤ "Anggota" dapat menolak untuk menyetujui kewajiban menjaga kerahasiaan. Namun, dalam hal ini, penggunaan "Program" tidak dimungkinkan.
Selain itu, seperti yang dinyatakan dalam ketentuan layanan, program ini hanya berlaku untuk orang Korea, dan faktanya saya tidak memiliki kewarganegaraan Korea.
Sebelum menerbitkan postingan blog tersebut secara online, saya akan membagikannya terlebih dahulu.

2024-03-15 03:06
Pertama-tama, kami dengan tulus berterima kasih atas laporan yang luar biasa dan partisipasi Anda yang berkelanjutan.
Kami lebih memilih untuk tidak mengungkapkan kerentanan secara publik, tetapi kami menghormati dan menghargai sudut pandang Anda.
Jika Anda memutuskan untuk menulis postingan blog tentang topik ini, kami meminta agar Anda menyamarkan informasi yang dapat mengungkap identitas perusahaan kami.
Terima kasih.
 
xguru 2024-06-27

Eksploit 1-klik yang ditemukan di aplikasi chat seluler terbesar di Korea
Silakan lihat juga ringkasan terjemahan oleh GN+.
 
wedding 2024-06-27

Admin, apakah belum ada fitur untuk mengedit isi?
Terjemahannya agak aneh, jadi saya ingin menambahkan tautan yang Anda lampirkan, tetapi saya tidak bisa menemukan cara untuk mengeditnya.
 
xguru 2024-06-28

Sayangnya.. tidak ada fitur edit, jadi kemungkinan yang melihat akan membacanya bersama tautan tersebut ^^;;
 
ragingwind 2024-06-26

Karena hadiah bounty hanya bisa diterima oleh warga Korea, kami sama sekali tidak menerima kompensasi apa pun.

Setelah melakukan hal yang baik, mereka masih menyisakan ruang untuk mendapat kecaman. Sangat disayangkan.
 
bluekai17 2024-06-27

Hal yang baik = orang asing yang melaporkan kerentanan
Hal yang pantas dikritik = orang asing yang melaporkan kerentanan itu diberi tahu lewat tulisan bahwa hadiah bounty hanya bisa diterima orang Korea

Apa ini benar??
 
nvkzrx 2024-06-27

Begini pemahaman saya:

Hal yang baik: memberikan hadiah uang kepada orang yang melaporkan kerentanan
Hal yang berpotensi menuai kecaman: membatasi pemberian itu hanya kepada orang Korea
 
nemorize 2024-06-28

Nuansa komentar aslinya terbaca seolah ini sesuatu yang patut dipuji, tetapi saya jadi berpikir... yang buruk(?) itu adalah tidak memberikan bounty (atau setidaknya kompensasi), jadi apakah memberikannya memang sesuatu yang layak dipuji?
 
savvykang 2024-06-26

Siapa yang melakukan hal baik tetapi justru kena kecaman? Pelapornya atau Kakao?
 
hhkkkk 2024-06-26

Saya kurang paham siapa yang meninggalkan celah untuk dikritik.
 
xguru 2024-06-26

Kami melaporkan kerentanan ini melalui program bug bounty Kakao pada Desember 2023. Namun, karena hadiah hanya dapat diterima oleh warga Korea, kami tidak menerima kompensasi apa pun🤯
Sebagai langkah perbaikan segera, Kakao menonaktifkan https://buy.kakao.com dan menghapus pengalihan /auth/0/cleanFrontRedirect?returnUrl=.

Waduh
 
2024-06-26
[Komentar ini disembunyikan.]
 
laeyoung 2024-06-26

• Rekening bank yang diperlukan untuk menerima hadiah harus merupakan rekening yang diterbitkan oleh bank domestik, dan dibatasi hanya rekening atas nama “anggota” itu sendiri.
• Harus merupakan warga Korea yang tinggal di dalam atau luar negeri, dan jika tinggal di negara yang terkena sanksi ekonomi, pembayaran hadiah dapat ditolak.

Program bounty ini benar-benar terbatas hanya untuk orang Korea.
Batas atas hadiah akhirnya ditetapkan sebesar 10 juta won, jadi untuk perusahaan sebesar Kakao, rasanya mereka bisa membuka lebih luas lagi, cukup disayangkan.
 
nullptr 2024-06-26

https://github.com/stulle123/kakaotalk_analysis/…
Sepertinya ini adalah isi pertanyaan dari orang yang menemukannya, tetapi penanganan terkaitnya termasuk kebijakan bounty memang terasa agak disayangkan...