Khai thác one-click trên KakaoTalk

 (stulle123.github.io)
27 điểm bởi wedding 2024-06-26 | 15 bình luận | Chia sẻ qua WhatsApp

Do vấn đề xác thực deep link trong KakaoTalk 10.4.3, kẻ tấn công từ xa có thể thực thi JavaScript tùy ý trong WebView để làm rò rỉ access token từ header của yêu cầu HTTP. Cuối cùng, token này có thể bị dùng để đăng ký một thiết bị do kẻ tấn công kiểm soát, từ đó chiếm đoạt tài khoản của người dùng khác và đọc tin nhắn trò chuyện. Lỗi này được gán mã CVE-2023-51219. Ngoài ra, tác giả cũng công bố các công cụ để các nhà nghiên cứu bảo mật đồng nghiệp có thể điều tra bề mặt tấn công rộng của KakaoTalk và tìm thêm lỗi.

Bài viết liên quan

15 bình luận

 
bluekai17 2024-06-27

https://github.com/stulle123/kakaotalk_analysis/…

Đây là nội dung đã trao đổi qua lại với Kakao.

Có vẻ như phần đầu của tài liệu là bức thư cuối cùng.
Tôi không thích việc công khai tiết lộ lỗ hổng, nhưng vì bạn định đăng lên nên nếu che thông tin nhận dạng của Kakao rồi mở công khai thì sẽ tốt hơn...
 
bluekai17 2024-06-27

2023-12-13 06:37
Xin chào lần nữa,
Trước hết, chúng tôi xin đề nghị bạn không đăng bài viết blog. Chương trình bug bounty của Kakao về cơ bản dựa trên nguyên tắc không công khai thông tin, vì vậy thông tin về lỗ hổng không thể được công bố, bất kể đã được khắc phục hay chưa.
Thứ hai, chúng tôi không có kế hoạch yêu cầu CVE ID.
Chúng tôi hiểu rằng bạn có thể thất vọng, nhưng đây là chính sách của công ty nên chúng tôi không còn cách nào khác. Cá nhân tôi cũng rất lấy làm tiếc.
Cảm ơn bạn đã thông cảm.

2023-12-13 13:22
Xin chào!
Bạn có thể cho biết khi nào dự kiến sẽ khắc phục vấn đề này không?
Có phải cùng với bản phát hành KakaoTalk tiếp theo không?
Cảm ơn

2024-01-02 15:44
Chúc mừng năm mới!
Có tin tức mới nào về vấn đề này không?
Lỗ hổng đã được vá trong phiên bản KakaoTalk mới nhất chưa?
Cảm ơn

2024-01-03 02:16
Xin chào,
Chúng tôi là đội ngũ bảo mật Kakao.
Biện pháp xử lý cho lỗ hổng này vẫn đang được tiến hành.
Xin vui lòng tham khảo.

CommerceBuyActivity
Dự kiến sẽ được vá trước tháng 2 năm 2024.
m.shoppinghow.kakao.com
Việc xử lý đã hoàn tất.
Tài khoản email Kakao
Biện pháp xử lý đang được thảo luận.
Cảm ơn,
Đội ngũ bảo mật Kakao

2024-01-08 20:47
Xin chào đội ngũ bảo mật Kakao,
Cảm ơn bạn đã phản hồi.
Tôi muốn góp ý về chương trình bug bounty:
Tôi cho rằng việc giới hạn phần thưởng bounty chỉ cho công dân Hàn Quốc là rất rủi ro đối với công ty của bạn.
Điều này có thể khiến các nhà nghiên cứu bảo mật quốc tế không báo cáo trực tiếp lỗ hổng cho công ty, mà chuyển sang các hình thức công bố thiếu trách nhiệm khác (diễn đàn ngầm, chợ đen, v.v.).

2024-01-09 02:06
Chúng tôi chân thành cảm ơn phản hồi quý báu của bạn. Chúng tôi luôn nghiêm túc tiếp nhận các đề xuất từ người dùng và không ngừng nỗ lực cải thiện dịch vụ. Phản hồi của bạn sẽ được đội ngũ của chúng tôi xem xét kỹ lưỡng và phản ánh trong các cải tiến sắp tới.
Chúc bạn một năm mới sung túc và hạnh phúc!

2024-01-28 16:57
Xin chào!
Có cập nhật gì không? Lỗ hổng đã được khắc phục chưa?
Cảm ơn,stullenfoo

2024-01-29 03:28
Xin chào.
Trước hết, cảm ơn bạn đã tiếp tục quan tâm.
Hiện chúng tôi đang xử lý lỗ hổng này và dự kiến sẽ khắc phục trong tháng 2. Nếu bạn cần thêm thông tin hoặc hỗ trợ, xin hãy cho chúng tôi biết.
Cảm ơn,

2024-02-18 12:47
Xin chào,
Có cập nhật gì không?
Tôi nhận thấy https://buy.kako.com đang ở trạng thái offline, và https://m.shoppinghow.kakao.com/m/product/…;%3E hiện đã mã hóa dấu ngoặc kép. Vì vậy có vẻ như lỗ hổng XSS đã được khắc phục.
Ứng dụng Android cũng đã được sửa chưa?
Cảm ơn,

2024-03-12 12:14
Xin chào lần nữa,
Các bạn đã sửa lỗi còn sót lại trong ứng dụng Android chưa?
Cảm ơn,
stullenfoo

2024-03-14 02:08
Xin chào,
Vấn đề trên KakaoTalk Android đã được giải quyết, và bản sửa lỗi đã được đưa vào phiên bản 1.9.0. Cảm ơn bạn đã tiếp tục quan tâm và ủng hộ.

2024-03-14 11:14
Xin chào,
Đó là tin tốt!
Vì vấn đề đã được giải quyết, tôi xin thông báo rằng tôi dự định sẽ viết một bài blog về việc này.
Liên quan đến việc đăng bài blog, biện pháp khắc phục độc quyền này trong Điều 18 cho phép tôi làm như vậy vì tôi không nhận được phần thưởng:
⑤ "Thành viên" có thể từ chối đồng ý với nghĩa vụ bảo mật. Tuy nhiên, trong trường hợp đó, sẽ không thể sử dụng "Chương trình".
Ngoài ra, như đã nêu trong điều khoản dịch vụ, chương trình này chỉ áp dụng cho người Hàn Quốc, và thực tế là tôi không có quốc tịch Hàn Quốc.
Trước khi đăng bài blog lên mạng, tôi sẽ chia sẻ nó.

2024-03-15 03:06
Trước hết, chúng tôi chân thành cảm ơn bạn vì báo cáo xuất sắc và sự tham gia liên tục.
Dù chúng tôi muốn không công khai lỗ hổng, chúng tôi vẫn tôn trọng và đánh giá cao quan điểm của bạn.
Nếu bạn quyết định viết một bài blog về chủ đề này, chúng tôi xin bạn hãy che đi những thông tin có thể làm lộ danh tính công ty chúng tôi.
Cảm ơn.
 
wedding 2024-06-27

Chủ thớt ơi, không biết có tính năng chỉnh sửa nội dung không?
Bản dịch hơi kỳ nên tôi muốn thêm liên kết đính kèm mà không tìm được cách chỉnh sửa.
 
xguru 2024-06-28

Đáng tiếc là không có tính năng chỉnh sửa. Có lẽ những ai xem sẽ đọc cùng với liên kết đó ^^;;
 
ragingwind 2024-06-26

> Vì tiền thưởng chỉ dành cho người Hàn Quốc nên chúng tôi đã không thể nhận được bất kỳ khoản bồi thường nào.

Làm một việc tốt rồi vẫn để lại khả năng bị chửi. Thật đáng tiếc.
 
bluekai17 2024-06-27

Việc tốt = người nước ngoài đã báo cáo lỗ hổng
Điều đáng bị chê trách = người nước ngoài đã báo cáo lỗ hổng lại đăng rằng tiền thưởng chỉ người Hàn Quốc mới có thể nhận được

Như vậy có đúng không??
 
nvkzrx 2024-06-27

Tôi hiểu là như sau:

Việc tốt: trả tiền thưởng cho người đã báo cáo lỗ hổng
Điểm có thể bị chỉ trích: giới hạn việc chi trả chỉ cho người Hàn Quốc
 
nemorize 2024-06-28

Sắc thái của bình luận gốc có vẻ như đang đọc theo hướng đây là chuyện đáng được khen ngợi, nhưng tôi tự hỏi... việc không trả tiền thưởng (hay một khoản bồi dưỡng tượng trưng) mới là điều tệ (?), còn việc trả thì có phải là chuyện đáng khen hay không.
 
savvykang 2024-06-26

Ai mới là bên làm việc tốt nhưng lại bị chửi? Người báo cáo hay Kakao?
 
hhkkkk 2024-06-26

Tôi không hiểu rõ là ai đã để lại kẽ hở để bị chỉ trích.
 
xguru 2024-06-26

Chúng tôi đã báo cáo lỗ hổng này vào tháng 12 năm 2023 thông qua chương trình bug bounty của Kakao. Tuy nhiên, vì tiền thưởng chỉ dành cho người Hàn Quốc nên chúng tôi không nhận được bất kỳ khoản bồi thường nào 🤯
Kakao đã ngay lập tức gỡ https://buy.kakao.com và loại bỏ chuyển hướng /auth/0/cleanFrontRedirect?returnUrl= như một biện pháp khắc phục tạm thời.

Ôi trời
 
2024-06-26
[Bình luận này đã bị ẩn.]
 
laeyoung 2024-06-26

• Tài khoản ngân hàng cần thiết để nhận tiền thưởng phải là tài khoản được mở tại ngân hàng trong nước và bị giới hạn là tài khoản đứng tên chính “thành viên”.
• Phải là người Hàn Quốc đang cư trú trong hoặc ngoài nước, và nếu cư trú tại quốc gia thuộc diện trừng phạt kinh tế thì việc chi trả tiền thưởng có thể bị từ chối.

Chương trình bounty này đúng là hoàn toàn giới hạn cho người Hàn Quốc.
Mức trần bồi thường cuối cùng được đặt là 10 triệu won, nên với tầm cỡ như Kakao thì có vẻ họ cũng có thể chi rộng rãi hơn, khá là đáng tiếc.
 
nullptr 2024-06-26

https://github.com/stulle123/kakaotalk_analysis/…
Có vẻ đây là nội dung người phát hiện gửi để hỏi, nhưng cách xử lý liên quan, bao gồm cả chính sách bounty, có phần hơi đáng tiếc...