Exploit de un clic en KakaoTalk
(stulle123.github.io)Debido a un problema en la validación de deep links de KakaoTalk, un atacante remoto puede ejecutar JavaScript arbitrario en WebView mediante 10.4.3 y filtrar el token de acceso desde los encabezados de las solicitudes HTTP. En última instancia, este token puede usarse para registrar un dispositivo controlado por el atacante, secuestrar la cuenta de otro usuario y leer mensajes de chat. Este error fue asignado como CVE-2023-51219. Además, se publican herramientas para que otros investigadores de seguridad puedan examinar la amplia superficie de ataque de KakaoTalk y encontrar más fallas.
15 comentarios
https://github.com/stulle123/kakaotalk_analysis/…
Parece ser el contenido que intercambiaron con Kakao.
Da la impresión de que el inicio del contenido es en realidad la última carta.
No prefiero revelar públicamente la vulnerabilidad, pero ya que tú la vas a publicar, agradecería que la compartieras ocultando la identidad de Kakao...
2023-12-13 06:37
Hola de nuevo,
Primero, le pedimos que no publique una entrada de blog. El programa de bug bounty de Kakao se basa fundamentalmente en la no divulgación de la información, por lo que la información sobre la vulnerabilidad no puede hacerse pública independientemente de si ya fue corregida o no.
En segundo lugar, no tenemos planes de solicitar un CVE ID.
Entendemos que esto puede resultarle decepcionante, pero esta es nuestra política, así que no hay nada que podamos hacer. Personalmente también lo lamento mucho.
Gracias por su comprensión.
2023-12-13 13:22
¡Hola!
¿Podrían decirme para cuándo planean resolver el problema?
¿Será junto con la próxima versión de KakaoTalk?
Gracias
2024-01-02 15:44
¡Feliz Año Nuevo!
¿Hay novedades sobre este tema?
¿Ya corrigieron la vulnerabilidad en la versión más reciente de KakaoTalk?
Gracias
2024-01-03 02:16
Hola,
Somos el equipo de seguridad de Kakao.
La mitigación de esta vulnerabilidad aún está en curso.
Por favor, téngalo en cuenta.
CommerceBuyActivity
Está previsto aplicar el parche antes de febrero de 2024.
m.shoppinghow.kakao.com
La mitigación se ha completado.
Cuenta de correo de Kakao
La mitigación está en discusión.
Gracias,
Equipo de seguridad de Kakao
2024-01-08 20:47
Hola, equipo de seguridad de Kakao:
Gracias por su respuesta.
Quisiera darles un comentario sobre su programa de bug bounty:
Creo que limitar la recompensa del bounty solo a ciudadanos coreanos representa un riesgo muy grande para su empresa.
Esto puede hacer que investigadores de seguridad internacionales no les reporten las vulnerabilidades directamente a ustedes y, en cambio, recurran a otras formas de divulgación irresponsable (foros clandestinos, mercado negro, etc.).
2024-01-09 02:06
Muchas gracias por sus valiosos comentarios. Tomamos muy en serio las sugerencias de los usuarios y hacemos todo lo posible por mejorar continuamente nuestros servicios. Sus comentarios serán revisados a fondo por nuestro equipo y se reflejarán en futuras mejoras.
¡Le deseamos un próspero y feliz Año Nuevo!
2024-01-28 16:57
¡Hola!
¿Hay alguna actualización? ¿Ya se resolvió la vulnerabilidad?
Gracias,stullenfoo
2024-01-29 03:28
Hola.
Antes que nada, gracias por su interés continuo.
Actualmente estamos resolviendo esta vulnerabilidad y esperamos solucionarla dentro de febrero. Si necesita información adicional o ayuda, por favor avísenos.
Gracias,
2024-02-18 12:47
Hola,
¿Hay alguna actualización?
Noté que https://buy.kako.com está fuera de línea, y que https://m.shoppinghow.kakao.com/m/product/…;%3E ahora está codificando las comillas dobles. Así que parece que la vulnerabilidad XSS ya fue corregida.
¿También corrigieron la app de Android?
Gracias,
2024-03-12 12:14
Hola de nuevo,
¿Ya corrigieron el bug restante en la app de Android?
Gracias,
stullenfoo
2024-03-14 02:08
Hola,
El problema en KakaoTalk para Android ya fue resuelto, y la corrección se incluyó en la versión 1.9.0. Gracias por su interés y apoyo continuos.
2024-03-14 11:14
Hola,
¡Qué buena noticia!
Como el problema ya fue resuelto, quería informarles que planeo escribir una entrada de blog al respecto.
En relación con publicar la entrada de blog, esta disposición de recurso exclusivo del Artículo 18 me lo permite, ya que no recibí ninguna recompensa:
⑤ El "miembro" puede negarse a aceptar la obligación de confidencialidad. Sin embargo, en ese caso no será posible usar el "programa".
Además, como se indica en los términos del servicio, este programa solo aplica a coreanos y, de hecho, yo no tengo ciudadanía coreana.
Antes de publicar la entrada de blog en línea, la compartiré con ustedes.
2024-03-15 03:06
Antes que nada, le agradecemos sinceramente por el excelente informe y su participación continua.
Preferimos no divulgar públicamente las vulnerabilidades, pero respetamos y valoramos su punto de vista.
Si decide escribir una entrada de blog sobre este tema, le pedimos que oculte cualquier información que pueda revelar la identidad de nuestra empresa.
Gracias.
Exploit de 1 clic descubierto en la app de chat móvil más grande de Corea
También consulten el resumen traducido por GN+.
Disculpe, ¿no habrá alguna función para editar el contenido?
La traducción quedó medio rara, así que quisiera agregar el enlace que adjuntó, pero no logro encontrar cómo hacerlo.
Lamentablemente... no hay función de edición. Supongo que quienes lo vean lo harán junto con ese enlace ^^;;
> Como la recompensa solo puede ser recibida por ciudadanos coreanos, nosotros no pudimos recibir ninguna compensación.
Deja espacio para que terminen criticándolos después de haber hecho algo bueno. Qué lástima.
Lo bueno = un extranjero reportó la vulnerabilidad
Lo criticable = ese extranjero que reportó la vulnerabilidad publicó que la recompensa solo la pueden recibir los coreanos
¿Esto está bien??
Cosa buena: pagar una recompensa a la persona que reportó la vulnerabilidad
Aspecto por el que podrían recibir críticas: haberlo limitado a pagar solo a coreanos
Así es como lo entiendo.
El matiz del comentario original se lee como si fuera algo digno de elogio, pero me hace pensar: lo malo(?) es no pagar una recompensa (o al menos una compensación simbólica), ¿y pagarla es algo digno de elogio...?
¿Quién es la parte que hace algo bueno y termina recibiendo críticas? ¿La persona que lo reportó o Kakao?
No entendí bien quién fue el que dejó margen para que lo criticaran.
Ups
• La cuenta bancaria necesaria para recibir la recompensa debe ser una cuenta emitida por un banco nacional y está limitada a una cuenta a nombre del propio “miembro”.
• Debe ser una persona coreana que resida dentro o fuera del país, y si reside en un país sujeto a sanciones económicas, el pago de la recompensa podría ser rechazado.
El programa de recompensas está completamente limitado solo a coreanos.
La compensación final máxima está fijada en 10 millones de wones, así que para una empresa del tamaño de Kakao, da la impresión de que podrían ofrecer más; es una lástima.
https://github.com/stulle123/kakaotalk_analysis/…
Parece ser una consulta de la persona que lo descubrió, pero da la impresión de que el manejo relacionado, incluida la política de recompensas, deja un poco que desear...