Уязвимость в KakaoTalk угрожает безопасности почтовых аккаунтов пользователей

Приложения и игры / Mobile / Android / Уязвимость в KakaoTalk угрожает безопасности почтовых аккаунтов пользователей
27.06.2024

Согласно отчетам, предоставленным Cyber Security News, основная точка входа этой уязвимости находится в CommerceBuyActivity webview, которая имеет несколько точек атаки:

  • Может быть запущена с помощью Deep link (adb shell am start kakaotalk://buy)
  • Включен JavaScript
  • Поддерживает Intent://, который может использоваться для отправки данных другим неэкспортируемым компонентам приложения через JS
  • Отсутствие очистки данных
  • Утечка заголовка авторизации HTTP, которая может быть выполнена через Netcat listener в терминальном окне и запуском $ adb shell am start kakaotalk://buy для запуска CommerceBuyActivity WebView

Однако, несмотря на возможность утечки заголовка авторизации с помощью GET-запроса, существует небольшая проверка, которая предотвращает загрузку любых произвольных URL-адресов, контролируемых атакующим. Чтобы обойти эту проблему, был проанализирован код, который предоставил информацию о том, что путь, запрос и фрагмент URL используют ввод атакующего.

URL перенаправление на DOM XSS

Поскольку KakaoTalk имеет политику одного происхождения, которая не загружает произвольные URL-адреса, исследователи проверяли, есть ли какие-либо домены kakao, уязвимые для DOM XSS. Был выявлен один конечный пункт, уязвимый для перенаправления на любой домен kakao.

Для использования этого перенаправления на тот же сайт в злонамеренных целях была обнаружена уязвимость XSS. Эта уязвимость XSS была найдена в поддомене m.shoppinghow.kakao.com, который использовал строку DOM Invader Canary и уже имел сохраненный XSS-пейлоад. Пейлоад XSS был настолько простым: “>.

Объединив этот XSS, атакующие создали злонамеренную глубокую ссылку kakaotalk://auth/0/cleanFrontRedirect?returnUrl=https://m.shoppinghow.kakao.com/m/product/Y25001977964/q:”>. Это утекло токен доступа пользователя через заголовок авторизации, который затем был отправлен на сервер, контролируемый атакующим, путем кодирования URL атакующего в base64.kakaotalk://buy/auth/0/cleanFrontRedirect?returnUrl=https://m.shoppinghow.kakao.com/m/product/Q24620753380/q:”>.

Фактически, этот токен можно использовать для захвата учетной записи Kakao mail жертвы, которая использовалась для регистрации. Кроме того, если у пользователя нет учетной записи Kakao mail, атакующий все равно может создать новую учетную запись Kakao Mail и просматривать сообщения чата. Более того, учетная запись Kakao Mail перезаписывает ранее зарегистрированный почтовый адрес пользователя без каких-либо дополнительных проверок.

Кроме того, исследователи также подробно описали сброс пароля через Burp, создание злонамеренной глубокой ссылки и опубликовали доказательство концепции на GitHub.

Обновлено: 27.06.2024