Согласно отчетам, предоставленным Cyber Security News, основная точка входа этой уязвимости находится в CommerceBuyActivity webview, которая имеет несколько точек атаки:
- Может быть запущена с помощью Deep link (adb shell am start kakaotalk://buy)
- Включен JavaScript
- Поддерживает Intent://, который может использоваться для отправки данных другим неэкспортируемым компонентам приложения через JS
- Отсутствие очистки данных
- Утечка заголовка авторизации HTTP, которая может быть выполнена через Netcat listener в терминальном окне и запуском $ adb shell am start kakaotalk://buy для запуска CommerceBuyActivity WebView
Однако, несмотря на возможность утечки заголовка авторизации с помощью GET-запроса, существует небольшая проверка, которая предотвращает загрузку любых произвольных URL-адресов, контролируемых атакующим. Чтобы обойти эту проблему, был проанализирован код, который предоставил информацию о том, что путь, запрос и фрагмент URL используют ввод атакующего.
URL перенаправление на DOM XSS
Поскольку KakaoTalk имеет политику одного происхождения, которая не загружает произвольные URL-адреса, исследователи проверяли, есть ли какие-либо домены kakao, уязвимые для DOM XSS. Был выявлен один конечный пункт, уязвимый для перенаправления на любой домен kakao.
Для использования этого перенаправления на тот же сайт в злонамеренных целях была обнаружена уязвимость XSS. Эта уязвимость XSS была найдена в поддомене m.shoppinghow.kakao.com, который использовал строку DOM Invader Canary и уже имел сохраненный XSS-пейлоад. Пейлоад XSS был настолько простым: “>.
Объединив этот XSS, атакующие создали злонамеренную глубокую ссылку kakaotalk://auth/0/cleanFrontRedirect?returnUrl=https://m.shoppinghow.kakao.com/m/product/Y25001977964/q:”>. Это утекло токен доступа пользователя через заголовок авторизации, который затем был отправлен на сервер, контролируемый атакующим, путем кодирования URL атакующего в base64.kakaotalk://buy/auth/0/cleanFrontRedirect?returnUrl=https://m.shoppinghow.kakao.com/m/product/Q24620753380/q:”>.
Фактически, этот токен можно использовать для захвата учетной записи Kakao mail жертвы, которая использовалась для регистрации. Кроме того, если у пользователя нет учетной записи Kakao mail, атакующий все равно может создать новую учетную запись Kakao Mail и просматривать сообщения чата. Более того, учетная запись Kakao Mail перезаписывает ранее зарегистрированный почтовый адрес пользователя без каких-либо дополнительных проверок.
Кроме того, исследователи также подробно описали сброс пароля через Burp, создание злонамеренной глубокой ссылки и опубликовали доказательство концепции на GitHub.