Exploit en un clic dans KakaoTalk
(stulle123.github.io)En raison d’un problème de validation des liens profonds dans KakaoTalk 10.4.3, un attaquant distant peut exécuter du JavaScript arbitraire dans WebView et exfiltrer un jeton d’accès depuis les en-têtes de requêtes HTTP. Au final, ce jeton peut être utilisé pour enregistrer un appareil contrôlé par l’attaquant, détourner le compte d’un autre utilisateur et lire ses messages de chat. Cette faille a reçu l’identifiant CVE-2023-51219. L’auteur publie également des outils afin que d’autres chercheurs en sécurité puissent examiner la vaste surface d’attaque de KakaoTalk et découvrir davantage de bugs.
15 commentaires
https://github.com/stulle123/kakaotalk_analysis/…
Voici apparemment les échanges avec Kakao.
On dirait que le début du contenu correspond à la dernière lettre.
Ils semblent ne pas préférer divulguer publiquement la vulnérabilité, mais comme vous allez la publier, ils demandent qu’au moins l’identité de Kakao soit masquée avant de la rendre publique...
2023-12-13 06:37
Bonjour à nouveau,
Tout d’abord, nous vous demandons de ne pas publier d’article de blog. Le programme de bug bounty de Kakao repose fondamentalement sur la non-divulgation des informations ; par conséquent, les informations concernant la vulnérabilité ne peuvent pas être rendues publiques, qu’elle ait été corrigée ou non.
Deuxièmement, nous ne prévoyons pas de demander d’identifiant CVE.
Je comprends que cela puisse être décevant pour vous, mais c’est notre politique, nous n’avons donc pas d’autre choix. Personnellement, j’en suis également très désolé.
Merci de votre compréhension.
2023-12-13 13:22
Bonjour !
Pouvez-vous m’indiquer à quelle échéance vous prévoyez de corriger le problème ?
Est-ce que ce sera avec la prochaine version de KakaoTalk ?
Merci
2024-01-02 15:44
Bonne année !
Y a-t-il du nouveau concernant ce problème ?
La vulnérabilité a-t-elle été corrigée dans la dernière version de KakaoTalk ?
Merci
2024-01-03 02:16
Bonjour,
Ici l’équipe sécurité de Kakao.
La prise en charge de cette vulnérabilité est toujours en cours.
Merci d’en prendre note.
CommerceBuyActivity
Correctif prévu avant février 2024.
m.shoppinghow.kakao.com
La correction est terminée.
Compte mail Kakao
La correction est en cours de discussion.
Merci,
Équipe sécurité de Kakao
2024-01-08 20:47
Bonjour l’équipe sécurité de Kakao,
Merci pour votre réponse.
Pour vous faire un retour sur le programme de bug bounty :
Je pense qu’il est très risqué pour votre entreprise de limiter les récompenses du bounty aux seuls citoyens coréens.
Cela peut conduire des chercheurs en sécurité internationaux à ne pas vous signaler directement les vulnérabilités et à recourir à d’autres formes de divulgation irresponsable (forums clandestins, marchés noirs, etc.).
2024-01-09 02:06
Merci infiniment pour ce retour précieux. Nous prenons très au sérieux les suggestions de nos utilisateurs et nous faisons de notre mieux pour améliorer continuellement nos services. Votre retour fera l’objet d’un examen approfondi par notre équipe et sera pris en compte dans les améliorations à venir.
Nous vous souhaitons une nouvelle année prospère et pleine de bonheur !
2024-01-28 16:57
Bonjour !
Y a-t-il des mises à jour ? La vulnérabilité a-t-elle été corrigée ?
Merci,stullenfoo
2024-01-29 03:28
Bonjour.
Tout d’abord, merci pour votre intérêt continu.
Nous sommes actuellement en train de corriger cette vulnérabilité et nous prévoyons qu’elle sera résolue d’ici février. N’hésitez pas à nous faire savoir si vous avez besoin d’informations supplémentaires ou d’aide.
Merci,
2024-02-18 12:47
Bonjour,
Y a-t-il des nouvelles ?
J’ai remarqué que https://buy.kako.com est hors ligne et que https://m.shoppinghow.kakao.com/m/product/…;%3E encode désormais les guillemets doubles. Il semble donc que la vulnérabilité XSS ait été corrigée.
L’application Android a-t-elle également été corrigée ?
Merci,
2024-03-12 12:14
Bonjour à nouveau,
Avez-vous corrigé le bug restant dans l’application Android ?
Merci,
stullenfoo
2024-03-14 02:08
Bonjour,
Le problème sur KakaoTalk Android a été résolu, et le correctif a été inclus dans la version 1.9.0. Merci pour votre intérêt et votre soutien continus.
2024-03-14 11:14
Bonjour,
C’est une bonne nouvelle !
Maintenant que le problème est résolu, je tenais à vous informer que je vais rédiger un article de blog à ce sujet.
Concernant la publication d’un article de blog, ce recours exclusif de l’article 18 m’y autorise puisque je n’ai reçu aucune récompense :
⑤ Le « membre » peut refuser de consentir à l’obligation de confidentialité. Toutefois, dans ce cas, l’utilisation du « programme » n’est pas possible.
Par ailleurs, comme indiqué dans les conditions d’utilisation, ce programme ne s’applique qu’aux Coréens et, en réalité, je ne possède pas la nationalité coréenne.
Avant de mettre l’article de blog en ligne, je vous le partagerai.
2024-03-15 03:06
Tout d’abord, nous vous remercions sincèrement pour l’excellent rapport et votre implication continue.
Nous préférerions ne pas divulguer publiquement la vulnérabilité, mais nous respectons et apprécions votre point de vue.
Si vous décidez de rédiger un article de blog sur ce sujet, nous vous demandons de masquer les informations qui pourraient révéler l’identité de notre entreprise.
Merci.
Un exploit en un clic découvert dans la plus grande application de chat mobile de Corée
Consultez aussi le résumé traduit par GN+.
Serait-il possible d’avoir une fonction de modification du contenu ?
La traduction est un peu étrange, donc j’aimerais ajouter le lien que vous avez joint, mais je n’arrive pas à trouver comment modifier le message.
Malheureusement… il n’y a pas de fonction de modification. J’imagine que les personnes qui le verront consulteront aussi ce lien ^^;;
> Comme la prime ne peut être versée qu’aux Coréens, nous n’avons donc reçu aucune récompense.
Cela laisse la porte ouverte aux critiques alors qu’ils ont fait du bon travail. C’est dommage.
Bonne chose = l’étranger qui a signalé la vulnérabilité
Ce qui mérite des critiques = l’étranger qui a signalé la vulnérabilité publie un message disant que la prime ne peut être versée qu’aux Coréens
C’est bien normal ??
Bonne chose : accorder une prime à la personne qui a signalé la vulnérabilité
Ce qui peut être critiqué : avoir limité le versement aux seuls Coréens
C’est ainsi que je le comprends.
La nuance du commentaire original se lit comme si c’était quelque chose de louable, mais je me dis que ce qui est mauvais, c’est de ne pas verser de prime (ou au moins une modeste récompense) ; est-ce vraiment le fait d’en verser une qui mérite des éloges... ?
Qui est critiqué alors qu’il fait une bonne action ? Le lanceur d’alerte ou Kakao ?
Je n’ai pas très bien compris qui avait laissé place à des critiques.
Aïe
• Le compte bancaire nécessaire pour recevoir la récompense doit être un compte émis par une banque nationale, et il est limité à un compte au nom du « membre » lui-même.
• Il faut être un Coréen résidant en Corée ou à l’étranger, et si vous résidez dans un pays visé par des sanctions économiques, le versement de la récompense peut être refusé.
Le programme de bounty est donc entièrement réservé aux Coréens.
Le plafond de la récompense finale est fixé à 10 millions de wons ; pour une entreprise comme Kakao, c’est assez décevant, on aurait pu s’attendre à davantage.
https://github.com/stulle123/kakaotalk_analysis/…
On dirait que c’est le contenu de la demande envoyée par la personne qui l’a découvert, mais le traitement lié à l’affaire, y compris la politique de bug bounty, semble un peu décevant...