Eksploit 1-Klik Ditemukan di Aplikasi Chat Mobile Terbesar di Korea

TL;DR

• Pada KakaoTalk versi 10.4.3, ada masalah validasi deep link yang memungkinkan penyerang jarak jauh menjalankan JavaScript arbitrer di WebView dan membocorkan access token melalui header permintaan HTTP.
• Token ini dapat digunakan untuk mengambil alih akun pengguna lain dan mendaftarkannya ke perangkat yang dikendalikan penyerang untuk membaca pesan chat.
• Bug ini telah diberi identitas CVE-2023-51219.

Latar Belakang

• KakaoTalk adalah aplikasi chat paling populer di Korea dengan lebih dari 100 juta unduhan.
• KakaoTalk secara bawaan tidak menggunakan end-to-end encryption (E2EE).
• Ada fitur E2EE opsional bernama "Secure Chat", tetapi tidak mendukung pesan grup maupun panggilan suara.

Entry Point: CommerceBuyActivity

• WebView CommerceBuyActivity adalah titik masuk utama yang patut diperhatikan penyerang.
  • Dapat dijalankan melalui deep link (adb shell am start kakaotalk://buy)
  • JavaScript diaktifkan (settings.setJavaScriptEnabled(true);)
  • Mendukung skema intent:// sehingga data dapat dikirim ke komponen aplikasi privat lain.
  • Validasi URI intent:// tidak memadai, sehingga berpotensi memungkinkan akses ke seluruh komponen aplikasi.
  • Membocorkan access token di header HTTP Authorization.

DOM XSS melalui Pengalihan URL

• Ditemukan kerentanan XSS di https://buy.kakao.com melalui endpoint https://buy.kakao.com/auth/0/cleanFrontRedirect?returnUrl=.
• Dikonfirmasi adanya stored XSS di https://m.shoppinghow.kakao.com/m/search/q/alert(1).
• JavaScript arbitrer dapat dijalankan di WebView CommerceBuyActivity untuk membocorkan access token pengguna.

Pengambilalihan Akun Kakao Mail melalui Deep Link

• Access token pengguna dapat dikirim ke server penyerang melalui deep link berbahaya.
• Dengan access token tersebut, akun Kakao Mail korban dapat diambil alih, atau akun mail baru dapat dibuat untuk menimpa alamat email yang sudah ada.

Reset Kata Sandi KakaoTalk dengan Burp

• Setelah mendapatkan akses ke akun Kakao Mail korban, penyerang dapat mencoba reset kata sandi.
• Untuk melewati autentikasi dua faktor (2FA), Burp digunakan untuk mencegat dan memodifikasi permintaan.

PoC

• Penyerang menyiapkan deep link berbahaya, dan saat korban mengkliknya, access token akan bocor.
• Access token yang bocor lalu digunakan untuk mereset kata sandi korban dan mendaftarkan perangkat penyerang ke akun KakaoTalk korban.

Takeaways

• Masih ada aplikasi chat populer yang memungkinkan pesan pengguna diambil alih melalui rantai serangan yang tidak rumit.
• Jika pengembang aplikasi membuat beberapa kesalahan sederhana, model keamanan Android yang kuat dan enkripsi pesan pun tidak akan membantu.
• Aplikasi chat Asia masih kurang mendapat perhatian dari komunitas riset keamanan.

Pendapat GN⁺

1. Tingkat keparahan kerentanan keamanan: Kerentanan keamanan yang ditemukan di aplikasi populer seperti KakaoTalk kembali mengingatkan pentingnya perlindungan data pengguna.
2. Tanggung jawab pengembang: Pengembang aplikasi harus melakukan validasi keamanan secara menyeluruh, terutama pada fitur yang berkaitan dengan data sensitif.
3. Edukasi pengguna: Pengguna juga perlu berhati-hati agar tidak mengklik tautan mencurigakan, serta meningkatkan kesadaran keamanan seperti mengaktifkan autentikasi dua faktor.
4. Perlunya riset keamanan: Riset keamanan terhadap aplikasi chat Asia perlu dilakukan lebih aktif agar lebih banyak kerentanan dapat ditemukan dan diperbaiki lebih awal.
5. Memberikan alternatif: Selain KakaoTalk, aplikasi pesan yang berfokus pada keamanan seperti Signal dan Telegram juga bisa dipertimbangkan.