カカオトークでワンクリックエクスプロイト
(stulle123.github.io)カカオトークのディープリンク検証の問題により、10.4.3ではリモート攻撃者がWebViewで任意のJavaScriptを実行し、HTTPリクエストヘッダーからアクセストークンを漏えいさせることができます。最終的に、このトークンは攻撃者が制御するデバイスを登録して他のユーザーのアカウントを乗っ取り、チャットメッセージを読むために使用される可能性があります。このバグには CVE-2023-51219 が割り当てられています。また、同僚のセキュリティ研究者がカカオトークの広範な攻撃対象領域を調査してさらに多くのバグを見つけられるよう、ツールも公開しています。
15件のコメント
https://github.com/stulle123/kakaotalk_analysis/…
カカオとやり取りした内容ですね。
内容の最初の部分が最後の書簡のようですが。
脆弱性を公に明かすことは好ましくありませんが、あなたが公開するというのであれば、カカオの身元は伏せて公開してくれるとありがたいです...
2023-12-13 06:37
改めまして、こんにちは。
まず、ブログ記事を公開しないようお願いいたします。Kakaoのバグバウンティプログラムは、基本的に情報の非公開を前提としているため、脆弱性に関する情報は、修正済みかどうかにかかわらず公開できません。
次に、CVE IDを申請する予定はありません。
ご期待に沿えず残念に思われることは理解しておりますが、これは当社のポリシーであるため、どうすることもできません。個人的にも大変遺憾に思っております。
ご理解ありがとうございます。
2023-12-13 13:22
こんにちは!
いつまでに問題を修正する予定か教えていただけますか?
次のKakaoTalkリリースと一緒でしょうか?
ありがとうございます
2024-01-02 15:44
明けましておめでとうございます!
この件に関して何か新しい情報はありますか?
最新のKakaoTalkバージョンでは脆弱性は修正されましたか?
ありがとうございます
2024-01-03 02:16
こんにちは。
Kakaoセキュリティチームです。
この脆弱性への対応はまだ進行中です。
ご参考ください。
CommerceBuyActivity
2024年2月前にパッチ予定です。
m.shoppinghow.kakao.com
対応が完了しました。
Kakaoメールアカウント
対応は協議中です。
ありがとうございます。
Kakaoセキュリティチーム
2024-01-08 20:47
Kakaoセキュリティチームの皆様、こんにちは。
ご返信ありがとうございます。
バグバウンティプログラムについてフィードバックします。
報奨金を韓国市民のみに制限するのは、御社にとって非常に危険だと思います。
その結果、国際的なセキュリティ研究者が脆弱性を御社に直接報告せず、別の形の無責任な公開(地下フォーラム、ブラックマーケットなど)を利用する可能性があります。
2024-01-09 02:06
貴重なフィードバックを誠にありがとうございます。私たちはユーザーの皆様のご提案を真摯に受け止め、継続的にサービスを改善するため最善を尽くしています。ご意見は社内チームで十分に検討し、今後の改善に反映いたします。
豊かで幸せな新年をお迎えください!
2024-01-28 16:57
こんにちは!
更新はありますか? 脆弱性は修正されましたか?
ありがとうございます。stullenfoo
2024-01-29 03:28
こんにちは。
まず、継続的なご関心に感謝いたします。
現在この脆弱性を修正中であり、2月中に解決される見込みです。追加情報やサポートが必要であればお知らせください。
ありがとうございます。
2024-02-18 12:47
こんにちは。
更新はありますか?
https://buy.kako.com がオフライン状態で、https://m.shoppinghow.kakao.com/m/product/…;%3E が現在はダブルクォーテーションをエンコードしていることを確認しました。したがって、XSS脆弱性は修正されたように見えます。
Androidアプリも修正されましたか?
ありがとうございます。
2024-03-12 12:14
改めまして、こんにちは。
Androidアプリに残っているバグは修正されましたか?
ありがとうございます。
stullenfoo
2024-03-14 02:08
こんにちは。
Android版KakaoTalkの問題は解決されており、修正はバージョン1.9.0に含まれています。継続的なご関心とご支援に感謝いたします。
2024-03-14 11:14
こんにちは。
それは良い知らせですね!
問題が解決したので、これに関するブログ記事を書く予定であることをお知らせします。
ブログ記事の公開に関しては、第18条のこの排他的救済措置により、私が報酬を受け取っていないため許可されます。
⑤ "会員"は秘密保持義務への同意を拒否することができます。ただし、この場合"プログラム"の利用はできません。
また、利用規約に明記されているとおり、このプログラムは韓国人のみに適用され、実際、私は韓国国籍を持っていません。
ブログ記事をオンラインで公開する前に、共有いたします。
2024-03-15 03:06
まず、素晴らしいレポートと継続的なご参加に心より感謝いたします。
私たちは脆弱性を公に開示しないことを望んでいますが、あなたの観点を尊重し、大切に考えています。
この件についてブログ記事を書くことをお決めになる場合は、当社の身元が明らかになる可能性のある情報を伏せていただくようお願いいたします。
ありがとうございます。
韓国最大のモバイルチャットアプリで発見された1クリックエクスプロイト
GN+による翻訳要約もあわせて参考にしてください。
管理人さん、もしかして内容を修正する機能はないでしょうか?
翻訳が少しおかしいので添付してくださったリンクを追加したいのですが、修正する方法が見つかりません。
残念ながら……修正機能はないんです。おそらくご覧になる方は、そのリンクとあわせて見ることになると思います ^^;;
> 懸賞金は韓国人しか受け取れないため、私たちは何の報酬も受け取れませんでした
良いことをしておいて非難される余地を残していますね。残念ですね。
良い点 = 脆弱性を報告した外国人
非難されるべき点 = 脆弱性を報告した外国人が、報奨金は韓国人だけが受け取れるという投稿
これで合ってるんですか??
良い点: 脆弱性を報告した人に報奨金を支払うこと
批判され得る点: 韓国人にのみ支給するよう制限したこと
という理解です
元のコメントのニュアンスは、称賛に値することのようにも読めるのですが、懸賞金(あるいはわずかな報酬)を支払わないことが悪い(?)のであって、支払うこと自体が称賛に値するのか……と思います。
良いことをして非難される主体は誰でしょうか? 通報者でしょうか、それともカカオでしょうか
誰が非難される余地を残したのか、よく理解できませんでした。
> 私たちはカカオのバグバウンティプログラムを通じて、2023年12月にこの脆弱性を報告しました。ただし、報奨金は韓国人のみが受け取れるため、私たちは一切の報酬を受け取れませんでした🤯
> カカオは即時の修正措置として https://buy.kakao.com を停止し、/auth/0/cleanFrontRedirect?returnUrl= リダイレクトを削除しました。
おっと
• 報奨金の受領に必要な銀行口座は、国内銀行で発行された口座である必要があり、「会員」本人名義の口座に限られます。
• 国内外に居住する韓国人である必要があり、経済制裁対象国に居住している場合は報奨金の支給が拒否されることがあります。
バウンティプログラムが完全に韓国人限定ですね。
最終報奨金の上限が1000万ウォンとなっているので、カカオくらいなら、もう少し出してもよさそうなのにかなり残念ですね。
https://github.com/stulle123/kakaotalk_analysis/…
発見者が問い合わせた内容のようですが、バウンティポリシーも含めて関連する対応は少し惜しい感じがしますね…