KakaoTalk में वन-क्लिक एक्सप्लॉइट
(stulle123.github.io)KakaoTalk की deep link validation समस्या के कारण 10.4.3 में एक remote attacker WebView में मनचाहा JavaScript चला सकता है और HTTP request headers से access token लीक कर सकता है। अंततः इस token का उपयोग attacker के नियंत्रण वाले device को register करने, दूसरे users के accounts hijack करने और chat messages पढ़ने के लिए किया जा सकता है। इस bug को CVE-2023-51219 दिया गया है। इसके अलावा, सहकर्मी security researchers ने KakaoTalk के व्यापक attack surface की जांच कर अधिक bugs खोजने में मदद के लिए tools भी जारी किए हैं।
15 टिप्पणियां
https://github.com/stulle123/kakaotalk_analysis/…
यह Kakao के साथ हुई बातचीत है।
लगता है कि सामग्री की शुरुआत ही आख़िरी पत्र है।
मैं सार्वजनिक रूप से इस vulnerability को उजागर करना पसंद नहीं करता, लेकिन चूँकि आप इसे पोस्ट कर रहे हैं, तो अच्छा होगा कि Kakao की पहचान छिपाकर इसे खोला जाए...
2023-12-13 06:37
फिर से नमस्ते,
सबसे पहले, हम आपसे अनुरोध करते हैं कि कृपया कोई ब्लॉग पोस्ट प्रकाशित न करें। Kakao का bug bounty program मूल रूप से non-disclosure पर आधारित है, इसलिए vulnerability से संबंधित जानकारी, चाहे उसका समाधान हुआ हो या नहीं, सार्वजनिक नहीं की जा सकती।
दूसरी बात, हम CVE ID का अनुरोध करने की योजना नहीं बना रहे हैं।
हम समझते हैं कि आप निराश हो सकते हैं, लेकिन यह हमारी policy है, इसलिए हम कुछ नहीं कर सकते। व्यक्तिगत रूप से भी मुझे इसका बहुत खेद है।
समझने के लिए धन्यवाद।
2023-12-13 13:22
नमस्ते!
क्या आप बता सकते हैं कि आप इस समस्या को कब तक ठीक करने की योजना बना रहे हैं?
क्या यह अगले KakaoTalk release के साथ होगा?
धन्यवाद
2024-01-02 15:44
नव वर्ष की शुभकामनाएँ!
क्या इस issue के बारे में कोई नई खबर है?
क्या आपने नवीनतम KakaoTalk version में vulnerability को patch कर दिया है?
धन्यवाद
2024-01-03 02:16
नमस्ते,
यह Kakao security team है।
इस vulnerability के लिए mitigation अभी भी प्रगति पर है।
कृपया संदर्भ के लिए देखें।
CommerceBuyActivity
फ़रवरी 2024 से पहले patch होने की योजना है।
m.shoppinghow.kakao.com
कार्रवाई पूरी हो गई है।
Kakao mail account
कार्रवाई पर चर्चा चल रही है।
धन्यवाद,
Kakao security team
2024-01-08 20:47
Kakao security team, नमस्ते,
जवाब देने के लिए धन्यवाद।
bug bounty program के बारे में मेरा feedback यह है:
bounty reward को केवल Korean citizens तक सीमित करना मुझे आपकी company के लिए बहुत जोखिमभरा लगता है।
इससे अंतरराष्ट्रीय security researchers vulnerabilities को सीधे आपकी company को report करने के बजाय, irresponsible disclosure के अन्य रूपों (underground forums, black market आदि) का उपयोग कर सकते हैं।
2024-01-09 02:06
आपके मूल्यवान feedback के लिए बहुत-बहुत धन्यवाद। हम users के सुझावों को गंभीरता से लेते हैं और लगातार service को बेहतर बनाने के लिए पूरी कोशिश करते हैं। आपके feedback की हमारी team द्वारा गहराई से समीक्षा की जाएगी और इसे भविष्य के सुधारों में शामिल किया जाएगा।
आपका नया साल समृद्ध और सुखद हो!
2024-01-28 16:57
नमस्ते!
क्या कोई update है? क्या vulnerability का समाधान हो गया है?
धन्यवाद,stullenfoo
2024-01-29 03:28
नमस्ते।
सबसे पहले, आपकी निरंतर रुचि के लिए धन्यवाद।
हम वर्तमान में इस vulnerability को ठीक कर रहे हैं और उम्मीद है कि यह फरवरी के भीतर ठीक हो जाएगी। यदि आपको अतिरिक्त जानकारी या सहायता चाहिए, तो कृपया बताइए।
धन्यवाद,
2024-02-18 12:47
नमस्ते,
क्या कोई update है?
मैंने पाया कि https://buy.kako.com offline है, और https://m.shoppinghow.kakao.com/m/product/…;%3E अब double quotes को encode कर रहा है। इसलिए ऐसा लगता है कि XSS vulnerability ठीक कर दी गई है।
क्या Android app भी ठीक कर दिया गया है?
धन्यवाद,
2024-03-12 12:14
फिर से नमस्ते,
क्या आपने Android app में बची हुई bug को ठीक कर दिया है?
धन्यवाद,
stullenfoo
2024-03-14 02:08
नमस्ते,
Android KakaoTalk की समस्या का समाधान कर दिया गया है, और fix version 1.9.0 में शामिल है। आपकी निरंतर रुचि और support के लिए धन्यवाद।
2024-03-14 11:14
नमस्ते,
यह अच्छी खबर है!
चूँकि समस्या का समाधान हो गया है, मैं आपको सूचित करना चाहता हूँ कि मैं इसके बारे में एक ब्लॉग पोस्ट लिखने वाला हूँ।
ब्लॉग पोस्ट प्रकाशित करने के संबंध में, Article 18 में यह exclusive remedy इसे अनुमति देता है क्योंकि मुझे कोई reward नहीं मिला:
⑤ "member" गोपनीयता दायित्व के लिए सहमति देने से इनकार कर सकता है। हालाँकि, इस स्थिति में "program" का उपयोग संभव नहीं है।
इसके अलावा, जैसा कि terms of service में स्पष्ट रूप से कहा गया है, यह program केवल Koreans पर लागू होता है, और वास्तव में मेरे पास Korean citizenship नहीं है।
ब्लॉग पोस्ट को online प्रकाशित करने से पहले, मैं इसे साझा करूँगा।
2024-03-15 03:06
सबसे पहले, आपकी उत्कृष्ट report और निरंतर भागीदारी के लिए हम हार्दिक धन्यवाद देते हैं।
हम आम तौर पर vulnerabilities को सार्वजनिक रूप से उजागर न करना पसंद करते हैं, लेकिन हम आपके दृष्टिकोण का सम्मान करते हैं और उसे महत्व देते हैं।
यदि आप इस विषय पर ब्लॉग पोस्ट लिखने का निर्णय लेते हैं, तो हम आपसे अनुरोध करते हैं कि कृपया ऐसी जानकारी को छिपा दें जिससे हमारी company की पहचान उजागर हो सकती है।
धन्यवाद।
कोरिया के सबसे बड़े मोबाइल चैटिंग ऐप में मिला 1-क्लिक exploit
GN+ द्वारा किया गया अनुवाद-सार भी साथ में देखें।
मालिक, क्या कंटेंट एडिट करने की कोई सुविधा नहीं है?
अनुवाद थोड़ा अजीब है, इसलिए मैं आपके द्वारा दिया गया लिंक जोड़ना चाहता हूँ, लेकिन उसे एडिट करने का तरीका मुझे नहीं मिल रहा है.
दुर्भाग्य से.. एडिट करने की सुविधा नहीं है। शायद देखने वाले लोग इसे उस लिंक के साथ ही देखेंगे ^^;;
> इनामी राशि केवल कोरियाई नागरिक ही प्राप्त कर सकते थे, इसलिए हमें कोई भी पुरस्कार नहीं मिला।
अच्छा काम करके भी आलोचना झेलने की गुंजाइश छोड़ दी गई है। अफ़सोस की बात है।
अच्छा काम = वह विदेशी जिसने vulnerability report की
निंदनीय बात = वह पोस्ट कि vulnerability report करने वाले विदेशी को bounty नहीं मिल सकती, क्योंकि इनाम सिर्फ कोरियाई नागरिक ही ले सकते हैं
क्या यह सही है??
मेरी समझ में इसका मतलब यह है:
अच्छी बात: vulnerability report करने वाले व्यक्ति को bounty देना
आलोचना की गुंजाइश: इसे केवल Korean लोगों को भुगतान करने तक सीमित करना
मूल टिप्पणी का भाव कुछ ऐसा पढ़ा जाता है जैसे यह कोई सराहनीय काम हो, लेकिन मुझे लगता है कि बुरा(?) काम तो इनाम (या कहें मामूली मुआवज़ा) न देना है; उसे देना क्या सच में तारीफ़ के लायक बात है... ऐसा लगता है।
अच्छा काम करके गालियाँ किसे पड़ रही हैं? रिपोर्ट करने वाले को, या Kakao को?
मुझे ठीक से समझ नहीं आया कि किसने ऐसी गुंजाइश छोड़ी कि लोग उसे कोस सकें।
अरे बाप रे
• इनाम की राशि पाने के लिए आवश्यक बैंक खाता देश के भीतर के बैंक द्वारा जारी किया गया होना चाहिए, और यह केवल “सदस्य” के अपने नाम वाले खाते तक सीमित है।
• आवेदक देश या विदेश में रहने वाला Korean होना चाहिए, और यदि वह आर्थिक प्रतिबंध वाले देश में रहता है, तो इनाम का भुगतान अस्वीकार किया जा सकता है.
बाउंटी प्रोग्राम पूरी तरह से सिर्फ Koreans तक सीमित है।
अंतिम इनाम की अधिकतम सीमा 10 million won रखी गई है, इसलिए Kakao जैसी कंपनी के लिए लगा कि इसे थोड़ा और बढ़ाया जा सकता था, यह काफ़ी निराशाजनक है।
https://github.com/stulle123/kakaotalk_analysis/…
लगता है कि यह उसे खोजने वाले व्यक्ति की पूछताछ की सामग्री है, लेकिन bounty policy समेत इससे जुड़ी हैंडलिंग थोड़ी निराशाजनक लगती है...