ช่องโหว่แบบ one-click exploit ใน KakaoTalk

https://github.com/stulle123/kakaotalk_analysis/…

นี่คือเนื้อหาที่โต้ตอบกันกับ Kakao

ดูเหมือนว่าตอนต้นของเนื้อหาจะเป็นจดหมายฉบับสุดท้าย
โดยส่วนตัวแล้วไม่ค่อยอยากเปิดเผยช่องโหว่ต่อสาธารณะ แต่ในเมื่อคุณจะโพสต์ ก็อยากให้ช่วยปกปิดข้อมูลระบุตัวตนของ Kakao แล้วค่อยเปิดเผย...

2023-12-13 06:37
สวัสดีอีกครั้ง,
ก่อนอื่น เราขอความกรุณาไม่ให้เผยแพร่บล็อกโพสต์ เนื่องจากโปรแกรม Bug Bounty ของ Kakao มีพื้นฐานอยู่บนการไม่เปิดเผยข้อมูลเป็นหลัก จึงไม่สามารถเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ได้ ไม่ว่าจะมีการแก้ไขแล้วหรือไม่ก็ตาม
ประการที่สอง เราไม่มีแผนจะขอ CVE ID
เราเข้าใจว่าคุณอาจรู้สึกผิดหวัง แต่เนื่องจากนี่เป็นนโยบายของบริษัท เราจึงไม่อาจดำเนินการเป็นอย่างอื่นได้ และโดยส่วนตัวแล้วผมก็รู้สึกเสียใจมากเช่นกัน
ขอขอบคุณสำหรับความเข้าใจของคุณ

2023-12-13 13:22
สวัสดี!
ช่วยแจ้งได้ไหมว่ามีแผนจะแก้ไขปัญหาภายในเมื่อใด?
จะมาพร้อมกับการปล่อย KakaoTalk รุ่นถัดไปหรือไม่?
ขอบคุณ

2024-01-02 15:44
สวัสดีปีใหม่!
มีความคืบหน้าใหม่เกี่ยวกับประเด็นนี้ไหม?
มีการแพตช์ช่องโหว่ใน KakaoTalk เวอร์ชันล่าสุดแล้วหรือยัง?
ขอบคุณ

2024-01-03 02:16
สวัสดี,
นี่คือทีมความปลอดภัยของ Kakao
การจัดการช่องโหว่นี้ยังอยู่ระหว่างดำเนินการ
โปรดทราบ

CommerceBuyActivity
มีกำหนดแพตช์ก่อนเดือนกุมภาพันธ์ 2024
m.shoppinghow.kakao.com
ดำเนินการเสร็จสิ้นแล้ว
บัญชีอีเมล Kakao
กำลังอยู่ระหว่างหารือแนวทางแก้ไข
ขอบคุณ,
ทีมความปลอดภัย Kakao

2024-01-08 20:47
สวัสดีทีมความปลอดภัย Kakao,
ขอบคุณสำหรับคำตอบ
ขอเสนอความคิดเห็นเกี่ยวกับโปรแกรม Bug Bounty:
ผมคิดว่าการจำกัดรางวัล Bug Bounty ให้เฉพาะพลเมืองเกาหลีเป็นเรื่องที่เสี่ยงมากสำหรับบริษัทของคุณ
สิ่งนี้อาจทำให้นักวิจัยด้านความปลอดภัยจากนานาชาติไม่รายงานช่องโหว่ให้บริษัทของคุณโดยตรง และหันไปใช้การเปิดเผยแบบไม่รับผิดชอบในรูปแบบอื่นแทน (ฟอรัมใต้ดิน, ตลาดมืด ฯลฯ)

2024-01-09 02:06
ขอขอบคุณอย่างยิ่งสำหรับความคิดเห็นอันมีค่าของคุณ เราให้ความสำคัญกับข้อเสนอแนะจากผู้ใช้เป็นอย่างมากและมุ่งมั่นพัฒนาบริการอย่างต่อเนื่อง ความคิดเห็นของคุณจะได้รับการพิจารณาอย่างรอบคอบโดยทีมงานของเราและนำไปสะท้อนในการปรับปรุงในอนาคต
ขอให้เป็นปีใหม่ที่อุดมสมบูรณ์และมีความสุข!

2024-01-28 16:57
สวัสดี!
มีอัปเดตไหม? ช่องโหว่ได้รับการแก้ไขแล้วหรือยัง?
ขอบคุณ,stullenfoo

2024-01-29 03:28
สวัสดี
ก่อนอื่น ขอขอบคุณสำหรับความสนใจอย่างต่อเนื่อง
ขณะนี้เรากำลังแก้ไขช่องโหว่นี้อยู่ และคาดว่าจะแล้วเสร็จภายในเดือนกุมภาพันธ์ หากคุณต้องการข้อมูลเพิ่มเติมหรือความช่วยเหลือ โปรดแจ้งให้เราทราบ
ขอบคุณ,

2024-02-18 12:47
สวัสดี,
มีอัปเดตไหม?
ผมพบว่า https://buy.kako.com ออฟไลน์อยู่ และ https://m.shoppinghow.kakao.com/m/product/…;%3E ตอนนี้มีการเข้ารหัสเครื่องหมายอัญประกาศคู่แล้ว ดังนั้นดูเหมือนว่าช่องโหว่ XSS จะได้รับการแก้ไขแล้ว
แอป Android ได้รับการแก้ไขด้วยหรือยัง?
ขอบคุณ,

2024-03-12 12:14
สวัสดีอีกครั้ง,
คุณได้แก้ไขบั๊กที่ยังคงเหลืออยู่ในแอป Android แล้วหรือยัง?
ขอบคุณ,
stullenfoo

2024-03-14 02:08
สวัสดี,
ปัญหาใน KakaoTalk บน Android ได้รับการแก้ไขแล้ว และการแก้ไขนี้ถูกรวมอยู่ในเวอร์ชัน 1.9.0 ขอบคุณสำหรับความสนใจและการสนับสนุนอย่างต่อเนื่อง

2024-03-14 11:14
สวัสดี,
เป็นข่าวดีมาก!
เนื่องจากปัญหาได้รับการแก้ไขแล้ว ผมขอแจ้งให้ทราบว่าผมมีแผนจะเขียนบล็อกโพสต์เกี่ยวกับเรื่องนี้
เกี่ยวกับการเผยแพร่บล็อกโพสต์ มาตรา 18 ข้อเยียวยาเฉพาะนี้อนุญาตให้ผมทำได้ เนื่องจากผมไม่ได้รับค่าตอบแทน:
⑤ "สมาชิก" สามารถปฏิเสธการยินยอมต่อภาระผูกพันในการรักษาความลับได้ อย่างไรก็ตาม ในกรณีนี้ จะไม่สามารถใช้ "โปรแกรม" ได้
นอกจากนี้ ตามที่ระบุไว้ในข้อกำหนดการให้บริการ โปรแกรมนี้ใช้กับชาวเกาหลีเท่านั้น และในความเป็นจริง ผมไม่ได้ถือสัญชาติเกาหลี
ก่อนที่จะเผยแพร่บล็อกโพสต์ออนไลน์ ผมจะแชร์ให้คุณดูก่อน

2024-03-15 03:06
ก่อนอื่น เราขอขอบคุณอย่างจริงใจสำหรับรายงานอันยอดเยี่ยมและการมีส่วนร่วมอย่างต่อเนื่อง
แม้ว่าเราจะต้องการไม่เปิดเผยช่องโหว่ต่อสาธารณะ แต่เราก็เคารพและให้คุณค่ากับมุมมองของคุณ
หากคุณตัดสินใจเขียนบล็อกโพสต์เกี่ยวกับหัวข้อนี้ เราขอความกรุณาให้ปกปิดข้อมูลที่อาจเปิดเผยตัวตนของบริษัทของเรา
ขอบคุณ.

พบช่องโหว่แบบ 1-click exploit ในแอปแชตมือถือที่ใหญ่ที่สุดของเกาหลี
โปรดดูสรุปคำแปลโดย GN+ ประกอบด้วย

แอดมินครับ มีฟังก์ชันแก้ไขเนื้อหาหรือเปล่าครับ?
คำแปลดูแปลก ๆ เลยอยากเพิ่มลิงก์ที่แนบมาให้ แต่หาวิธีแก้ไขไม่เจอเลยครับ

น่าเสียดายครับ.. เพราะไม่มีฟังก์ชันแก้ไข คิดว่าคนที่เข้ามาดูน่าจะได้ดูไปพร้อมกับลิงก์นั้นครับ ^^;;

เงินรางวัลรับได้เฉพาะชาวเกาหลีเท่านั้น ดังนั้นพวกเราจึงไม่ได้รับค่าตอบแทนใด ๆ

ทำเรื่องดี ๆ ไว้แท้ ๆ แต่กลับเปิดช่องให้โดนด่าได้ น่าเสียดายนะ

เรื่องดี = ชาวต่างชาติที่รายงานช่องโหว่
เรื่องที่ควรโดนด่า = ชาวต่างชาติที่รายงานช่องโหว่โพสต์ว่ารางวัลบั๊กบาวน์ตีรับได้เฉพาะคนเกาหลี

แบบนี้ถูกต้องแล้วเหรอ??

เรื่องดี: จ่ายเงินรางวัลให้กับผู้ที่รายงานช่องโหว่
จุดที่อาจถูกวิจารณ์ได้: จำกัดการจ่ายไว้เฉพาะคนเกาหลีเท่านั้น

ผมเข้าใจว่าเป็นแบบนั้น

น้ำเสียงของคอมเมนต์ต้นฉบับอ่านแล้วเหมือนกำลังชื่นชมว่าเป็นเรื่องที่น่ายกย่องนะครับ แต่สิ่งที่ไม่ดี(?) คือการไม่จ่ายเงินรางวัลตอบแทน (หรืออย่างน้อยก็ค่าตอบแทนเล็กน้อย) มากกว่า การจ่ายให้นี่ถือว่าเป็นเรื่องที่น่าชื่นชมถึงขนาดนั้นหรือ... ก็ชวนให้คิดครับ

ใครกันแน่ที่ทำเรื่องดีแล้วกลับโดนด่า ผู้แจ้งช่องโหว่หรือ Kakao?

ผมยังไม่ค่อยเข้าใจว่าคนที่เปิดช่องให้โดนด่าคือใคร

> เราได้รายงานช่องโหว่นี้ผ่านโครงการ bug bounty ของ Kakao เมื่อเดือนธันวาคม 2023 อย่างไรก็ตาม เนื่องจากมีเพียงชาวเกาหลีเท่านั้นที่สามารถรับเงินรางวัลได้ พวกเราจึงไม่ได้รับค่าตอบแทนใด ๆ เลย🤯
> Kakao ได้ดำเนินการแก้ไขทันทีโดยปิด https://buy.kakao.com และนำรีไดเรกต์ /auth/0/cleanFrontRedirect?returnUrl= ออกไป

โอ๊ะ

• บัญชีธนาคารที่ใช้สำหรับรับเงินรางวัลจะต้องเป็นบัญชีที่ออกโดยธนาคารภายในประเทศ และจำกัดเฉพาะบัญชีที่เป็นชื่อของ “สมาชิก” เองเท่านั้น
• จะต้องเป็นชาวเกาหลีที่พำนักอยู่ทั้งในและต่างประเทศ และหากพำนักอยู่ในประเทศที่ถูกคว่ำบาตรทางเศรษฐกิจ อาจถูกปฏิเสธการจ่ายเงินรางวัลได้

โปรแกรมบั๊กบาวน์ตีนี้จำกัดเฉพาะชาวเกาหลีอย่างสมบูรณ์เลยนะ
วงเงินรางวัลสูงสุดสุดท้ายตั้งไว้ที่ 10 ล้านวอน ดังนั้นถ้าเป็นระดับ Kakao ก็น่าจะให้ได้มากกว่านี้หน่อย น่าเสียดายมากครับ

https://github.com/stulle123/kakaotalk_analysis/…
ดูเหมือนว่าจะเป็นเนื้อหาที่ผู้ค้นพบส่งไปสอบถามเอง แต่ก็รู้สึกเสียดายนิดหน่อยกับการจัดการที่เกี่ยวข้อง รวมถึงนโยบายบั๊กบาวน์ตีด้วย...