One-Click-Exploit in KakaoTalk
(stulle123.github.io)Aufgrund eines Problems bei der Validierung von Deep Links in KakaoTalk 10.4.3 kann ein entfernter Angreifer in der WebView beliebiges JavaScript ausführen und dadurch Access Tokens aus HTTP-Request-Headern abfließen lassen. Letztlich kann dieses Token verwendet werden, um ein vom Angreifer kontrolliertes Gerät zu registrieren, andere Nutzerkonten zu kompromittieren und Chat-Nachrichten zu lesen. Dieser Bug wurde als CVE-2023-51219 eingestuft. Außerdem werden Tools veröffentlicht, damit andere Sicherheitsforscher die umfangreiche Angriffsfläche von KakaoTalk untersuchen und weitere Bugs finden können.
15 Kommentare
https://github.com/stulle123/kakaotalk_analysis/…
Das ist der Inhalt, den sie mit Kakao ausgetauscht haben.
Es scheint so, als wäre der Anfang des Inhalts der letzte Brief.
Ich bevorzuge es zwar nicht, die Schwachstelle öffentlich zu machen, aber wenn Sie sie ohnehin veröffentlichen, wäre es gut, wenn Sie Kakaos Identität unkenntlich machen und sie dann offenlegen ...
2023-12-13 06:37
Nochmals hallo,
zunächst möchten wir Sie bitten, keinen Blogbeitrag zu veröffentlichen. Das Bug-Bounty-Programm von Kakao basiert grundsätzlich auf Vertraulichkeit, daher können Informationen über Schwachstellen unabhängig davon, ob sie behoben wurden oder nicht, nicht veröffentlicht werden.
Zweitens planen wir nicht, eine CVE-ID zu beantragen.
Wir verstehen, dass Sie enttäuscht sein könnten, aber das ist unsere Richtlinie, daher können wir leider nichts daran ändern. Auch persönlich bedauere ich das sehr.
Vielen Dank für Ihr Verständnis.
2023-12-13 13:22
Hallo!
Können Sie mir mitteilen, bis wann Sie planen, das Problem zu beheben?
Zusammen mit der nächsten KakaoTalk-Version?
Danke
2024-01-02 15:44
Frohes neues Jahr!
Gibt es Neuigkeiten zu diesem Thema?
Wurde die Schwachstelle in der neuesten KakaoTalk-Version gepatcht?
Danke
2024-01-03 02:16
Hallo,
hier ist das Kakao-Sicherheitsteam.
Die Maßnahmen zu dieser Schwachstelle sind noch in Bearbeitung.
Bitte nehmen Sie dies zur Kenntnis.
CommerceBuyActivity
Patch vor Februar 2024 geplant.
m.shoppinghow.kakao.com
Die Maßnahme wurde abgeschlossen.
Kakao-Mail-Konto
Die Maßnahme wird derzeit besprochen.
Vielen Dank,
Kakao-Sicherheitsteam
2024-01-08 20:47
Hallo an das Kakao-Sicherheitsteam,
vielen Dank für Ihre Antwort.
Als Feedback zu Ihrem Bug-Bounty-Programm:
Ich halte es für sehr riskant für Ihr Unternehmen, die Bounty-Belohnung nur auf koreanische Staatsbürger zu beschränken.
Dadurch könnten internationale Sicherheitsforscher Schwachstellen nicht direkt an Ihr Unternehmen melden und stattdessen andere Formen unverantwortlicher Offenlegung nutzen (Untergrundforen, Schwarzmärkte usw.).
2024-01-09 02:06
Vielen Dank für Ihr wertvolles Feedback. Wir nehmen die Vorschläge unserer Nutzer ernst und setzen alles daran, unseren Service kontinuierlich zu verbessern. Ihr Feedback wird von unserem Team gründlich geprüft und in künftige Verbesserungen einfließen.
Wir wünschen Ihnen ein erfolgreiches und glückliches neues Jahr!
2024-01-28 16:57
Hallo!
Gibt es ein Update? Wurde die Schwachstelle behoben?
Danke,stullenfoo
2024-01-29 03:28
Hallo.
Zunächst vielen Dank für Ihr anhaltendes Interesse.
Wir arbeiten derzeit an der Behebung dieser Schwachstelle und gehen davon aus, dass sie im Februar behoben sein wird. Wenn Sie weitere Informationen benötigen oder Hilfe brauchen, lassen Sie es uns bitte wissen.
Vielen Dank,
2024-02-18 12:47
Hallo,
gibt es ein Update?
Mir ist aufgefallen, dass https://buy.kako.com offline ist und dass https://m.shoppinghow.kakao.com/m/product/…;%3E jetzt Anführungszeichen kodiert. Daher scheint die XSS-Schwachstelle behoben zu sein.
Wurde auch die Android-App korrigiert?
Danke,
2024-03-12 12:14
Nochmals hallo,
haben Sie den verbleibenden Bug in der Android-App behoben?
Danke,
stullenfoo
2024-03-14 02:08
Hallo,
das Problem in Android KakaoTalk wurde behoben, und die Korrektur wurde in Version 1.9.0 aufgenommen. Vielen Dank für Ihr anhaltendes Interesse und Ihre Unterstützung.
2024-03-14 11:14
Hallo,
das sind gute Nachrichten!
Da das Problem behoben wurde, möchte ich Sie darüber informieren, dass ich plane, dazu einen Blogbeitrag zu verfassen.
In Bezug auf die Veröffentlichung eines Blogbeitrags erlaubt mir diese ausschließliche Rechtsbehelfsregelung in Artikel 18 dies, da ich keine Belohnung erhalten habe:
⑤ "Mitglieder" können die Zustimmung zur Vertraulichkeitspflicht verweigern. In diesem Fall ist die Nutzung des "Programms" jedoch nicht möglich.
Außerdem gilt dieses Programm, wie in den Nutzungsbedingungen angegeben, nur für Koreaner, und ich besitze tatsächlich keine koreanische Staatsbürgerschaft.
Bevor ich den Blogbeitrag online veröffentliche, werde ich ihn mit Ihnen teilen.
2024-03-15 03:06
Zunächst möchten wir uns aufrichtig für Ihren hervorragenden Bericht und Ihr kontinuierliches Engagement bedanken.
Wir ziehen es vor, Schwachstellen nicht öffentlich offenzulegen, respektieren und schätzen jedoch Ihren Standpunkt.
Falls Sie sich entscheiden, einen Blogbeitrag zu diesem Thema zu schreiben, möchten wir Sie bitten, Informationen unkenntlich zu machen, durch die die Identität unseres Unternehmens offengelegt werden könnte.
Vielen Dank.
1-Klick-Exploit in der größten mobilen Chat-App Koreas entdeckt
Beachten Sie auch die von GN+ übersetzte Zusammenfassung.
Gibt es vielleicht keine Funktion zum Bearbeiten des Inhalts?
Die Übersetzung ist etwas seltsam, daher würde ich gern den von Ihnen beigefügten Link ergänzen, aber ich kann keine Möglichkeit finden, sie zu bearbeiten.
Leider gibt es keine Bearbeitungsfunktion. Vermutlich werden diejenigen, die es lesen, es zusammen mit dem entsprechenden Link ansehen ^^;;
> Da das Preisgeld nur von Koreanern erhalten werden kann, konnten wir keinerlei Belohnung bekommen.
Man tut etwas Gutes und lässt dann trotzdem Raum dafür, dafür Kritik einstecken zu müssen. Schade.
Gute Sache = der Ausländer, der die Schwachstelle gemeldet hat
Etwas, wofür man kritisiert werden sollte = dass der Ausländer, der die Schwachstelle gemeldet hat, schrieb, das Preisgeld könnten nur Koreaner erhalten
Ist das richtig??
So verstehe ich das:
Gute Sache: An die Person, die die Schwachstelle gemeldet hat, wird eine Prämie gezahlt
Kritikwürdig: Die Auszahlung ist darauf beschränkt, dass sie nur an Koreaner erfolgt
Die Nuance des ursprünglichen Kommentars liest sich so, als wäre das etwas Lobenswertes. Aber ich frage mich eher: Schlecht ist doch, kein Bug Bounty (oder keine angemessene Belohnung) zu zahlen — ist es dann wirklich etwas, das man besonders loben sollte, wenn doch gezahlt wird ...?
Wer ist die Partei, die etwas Gutes tut und dafür kritisiert wird? Der Hinweisgeber oder Kakao?
Ich habe nicht ganz verstanden, wer da Raum für Kritik offengelassen hat.
Ups
• Das für den Erhalt der Prämie erforderliche Bankkonto muss von einer inländischen Bank ausgestellt sein und ist auf ein Konto im Namen des „Mitglieds“ selbst beschränkt.
• Man muss ein in Korea oder im Ausland lebender Koreaner sein; bei Wohnsitz in einem Land, das Wirtschaftssanktionen unterliegt, kann die Auszahlung der Prämie verweigert werden.
Das Bounty-Programm ist also komplett auf Koreaner beschränkt.
Die Obergrenze der endgültigen Prämie liegt bei 10 Millionen Won; für ein Unternehmen von der Größe Kakaos hätte man das ruhig großzügiger gestalten können, was sehr schade ist.
https://github.com/stulle123/kakaotalk_analysis/…
Es scheint sich um die Anfrage der Person zu handeln, die den Fund gemacht hat; einschließlich der Bounty-Richtlinie wirkt die damit verbundene Bearbeitung allerdings etwas enttäuschend...