Phát hiện exploit 1-click trong ứng dụng chat di động lớn nhất Hàn Quốc

TL;DR

• Phiên bản KakaoTalk 10.4.3 có vấn đề xác thực deep link, cho phép kẻ tấn công từ xa thực thi JavaScript tùy ý trong WebView và làm rò rỉ access token trong header yêu cầu HTTP.
• Có thể dùng token này để chiếm đoạt tài khoản của người dùng khác, đăng ký tài khoản đó trên thiết bị do kẻ tấn công kiểm soát và đọc tin nhắn trò chuyện.
• Lỗi này được gán mã CVE-2023-51219.

Bối cảnh

• KakaoTalk là ứng dụng chat phổ biến nhất tại Hàn Quốc với hơn 100 triệu lượt tải xuống.
• KakaoTalk mặc định không sử dụng mã hóa đầu cuối (E2EE).
• Có tính năng E2EE tùy chọn tên là "Secure Chat", nhưng không hỗ trợ nhắn tin nhóm hoặc cuộc gọi thoại.

Entry Point: CommerceBuyActivity

• WebView CommerceBuyActivity là một điểm vào chính đáng chú ý đối với kẻ tấn công.
  • Có thể khởi chạy bằng deep link (adb shell am start kakaotalk://buy)
  • JavaScript được bật (settings.setJavaScriptEnabled(true);)
  • Hỗ trợ scheme intent://, nên có thể truyền dữ liệu tới các thành phần ứng dụng riêng tư khác.
  • Việc xác thực URI intent:// không đầy đủ, nên về mặt tiềm năng có thể truy cập mọi thành phần của ứng dụng.
  • Làm rò rỉ access token trong header HTTP Authorization.

DOM XSS thông qua chuyển hướng URL

• Phát hiện lỗ hổng XSS tại https://buy.kakao.com thông qua endpoint https://buy.kakao.com/auth/0/cleanFrontRedirect?returnUrl=.
• Xác nhận stored XSS tại https://m.shoppinghow.kakao.com/m/search/q/alert(1).
• Có thể thực thi JavaScript tùy ý trong WebView CommerceBuyActivity để làm rò rỉ access token của người dùng.

Chiếm đoạt tài khoản Kakao Mail thông qua deep link

• Có thể gửi access token của người dùng tới máy chủ của kẻ tấn công thông qua deep link độc hại.
• Có thể dùng access token để chiếm đoạt tài khoản Kakao Mail của nạn nhân, hoặc tạo tài khoản mail mới để ghi đè địa chỉ email hiện có.

Đặt lại mật khẩu KakaoTalk bằng Burp

• Có thể thử đặt lại mật khẩu sau khi truy cập được vào tài khoản Kakao Mail của nạn nhân.
• Để vượt qua xác thực hai bước (2FA), sử dụng Burp để chặn và chỉnh sửa yêu cầu.

PoC

• Kẻ tấn công chuẩn bị một deep link độc hại; khi nạn nhân nhấp vào, access token sẽ bị rò rỉ.
• Dùng access token bị lộ để đặt lại mật khẩu của nạn nhân và đăng ký thiết bị của kẻ tấn công vào tài khoản KakaoTalk của nạn nhân.

Takeaways

• Vẫn tồn tại những ứng dụng chat phổ biến mà tin nhắn của người dùng có thể bị chiếm đoạt bằng một chuỗi tấn công không quá phức tạp.
• Nếu nhà phát triển ứng dụng mắc một vài sai lầm đơn giản, mô hình bảo mật mạnh của Android và mã hóa tin nhắn cũng không giúp được gì.
• Các ứng dụng chat châu Á vẫn đang bị cộng đồng nghiên cứu bảo mật đánh giá thấp.

Ý kiến của GN⁺

1. Mức độ nghiêm trọng của lỗ hổng bảo mật: Lỗ hổng bảo mật được phát hiện trong một ứng dụng đại chúng như KakaoTalk một lần nữa nhắc nhở về tầm quan trọng của việc bảo vệ dữ liệu người dùng.
2. Trách nhiệm của nhà phát triển: Nhà phát triển ứng dụng cần kiểm tra bảo mật kỹ lưỡng, đặc biệt phải cẩn trọng hơn với các tính năng liên quan đến dữ liệu nhạy cảm.
3. Giáo dục người dùng: Người dùng cũng cần cẩn thận không nhấp vào các liên kết đáng ngờ và nâng cao nhận thức bảo mật bằng cách bật xác thực hai bước.
4. Sự cần thiết của nghiên cứu bảo mật: Nghiên cứu bảo mật về các ứng dụng chat châu Á cần được thúc đẩy mạnh hơn để phát hiện và khắc phục thêm nhiều lỗ hổng từ sớm.
5. Đề xuất lựa chọn thay thế: Ngoài KakaoTalk, có thể cân nhắc các ứng dụng nhắn tin chú trọng bảo mật như Signal và Telegram.