KakaoTalk представляет из себя приложение наподобие китайского WeChat. Помимо платформы для общения, оно предоставляет платёжные услуги, услуги заказа такси, онлайн-шоппинга, электронной почты и так далее.
Уязвимость, получившая номер CVE-2023-51219, позволяет удалённо запускать произвольный JavaScript-код в WebView и передавать токен доступа в заголовок HTTP-запроса. Токен можно использовать для захвата аккаунта другого пользователя и чтения его сообщений в чате. Она также позволяет при захвате аккаунта перезаписать предыдущий зарегистрированный почтовый адрес пользователя без каких-либо дополнительных проверок.
Как отмечают исследователи, они отправили разработчикам приложения информацию о проблемах безопасности в декабре 2023 года.
«Мы сообщили об уязвимости через программу Kakao Bug Bounty. Однако мы не получили никакой награды, поскольку право на это имеют только корейцы», — отмечается в описании уязвимости. Команда не сообщает, планирует ли она предпринимать какие-либо дополнительные шаги. Сумма вознаграждения по Kakao Bug Bounty варьируется от 50 000 вон до 10 млн вон (от $36 до $7,2 тыс.)
Сообщается, что «в качестве немедленного решения» компания Kakao Corp. удалила https://buy.kakao.com и перенаправление /auth/0/cleanFrontRedirect?returnUrl=. Уязвимую CommerceBuyActivity разработчики удалили в более поздних версиях.
Обсудить