Kore'nin en büyük mobil sohbet uygulamasında bulunan 1 tıklamalı exploit

TL;DR

• KakaoTalk 10.4.3 sürümünde, uzaktaki bir saldırganın WebView içinde rastgele JavaScript çalıştırıp HTTP istek başlıklarındaki erişim tokenını sızdırmasına yol açabilen bir derin bağlantı doğrulama sorunu bulunuyor.
• Bu token kullanılarak başka kullanıcıların hesapları ele geçirilebiliyor ve saldırganın kontrol ettiği bir cihaza kaydedilerek sohbet mesajları okunabiliyor.
• Bu hataya CVE-2023-51219 atandı.

Arka plan

• KakaoTalk, 100 milyondan fazla indirmeye ulaşmış, Kore'nin en popüler sohbet uygulaması.
• KakaoTalk varsayılan olarak uçtan uca şifreleme (E2EE) kullanmıyor.
• "Secure Chat" adlı isteğe bağlı bir E2EE özelliği var, ancak grup mesajlaşmasını veya sesli aramaları desteklemiyor.

Giriş noktası: CommerceBuyActivity

• CommerceBuyActivity WebView'i, saldırganlar açısından dikkat çekici bir ana giriş noktası.
  • Derin bağlantıyla başlatılabiliyor (adb shell am start kakaotalk://buy)
  • JavaScript etkin (settings.setJavaScriptEnabled(true);)
  • intent:// şemasını desteklediği için diğer özel uygulama bileşenlerine veri aktarabiliyor.
  • intent:// URI'lerinin doğrulaması yetersiz olduğundan potansiyel olarak tüm uygulama bileşenlerine erişim mümkün.
  • Authorization HTTP başlığında erişim tokenını sızdırıyor.

URL yönlendirmesi üzerinden DOM XSS

• https://buy.kakao.com üzerinde https://buy.kakao.com/auth/0/cleanFrontRedirect?returnUrl= uç noktası aracılığıyla bir XSS açığı bulundu.
• https://m.shoppinghow.kakao.com/m/search/q/alert(1) üzerinde saklı XSS doğrulandı.
• CommerceBuyActivity WebView'inde rastgele JavaScript çalıştırılarak kullanıcının erişim tokenı sızdırılabiliyor.

Derin bağlantı üzerinden Kakao Mail hesap ele geçirme

• Kötü amaçlı bir derin bağlantı aracılığıyla kullanıcının erişim tokenı saldırganın sunucusuna gönderilebiliyor.
• Erişim tokenı kullanılarak kurbanın Kakao Mail hesabı ele geçirilebiliyor ya da yeni bir mail hesabı oluşturulup mevcut e-posta adresinin üzerine yazılabiliyor.

Burp ile KakaoTalk parola sıfırlama

• Kurbanın Kakao Mail hesabına erişilerek parola sıfırlama denenebiliyor.
• İki adımlı doğrulamayı (2FA) aşmak için Burp kullanılarak istekler yakalanıp değiştiriliyor.

PoC

• Saldırgan, kurban tıkladığında erişim tokenını sızdıran kötü amaçlı bir derin bağlantı hazırlıyor.
• Sızdırılan erişim tokenı kullanılarak kurbanın parolası sıfırlanıyor ve saldırganın cihazı kurbanın KakaoTalk hesabına kaydediliyor.

Çıkarımlar

• Hâlâ, karmaşık olmayan bir saldırı zinciriyle kullanıcı mesajlarının ele geçirilebildiği popüler sohbet uygulamaları mevcut.
• Uygulama geliştiricileri birkaç basit hata yaptığında Android'in güçlü güvenlik modeli ve mesaj şifreleme işe yaramıyor.
• Asya sohbet uygulamaları güvenlik araştırma topluluğunda hâlâ yeterince önemsenmiyor.

GN⁺ görüşü

1. Güvenlik açığının ciddiyeti: KakaoTalk gibi yaygın kullanılan bir uygulamada bulunan güvenlik açığı, kullanıcı verilerini korumanın önemini bir kez daha hatırlatıyor.
2. Geliştirici sorumluluğu: Uygulama geliştiricileri güvenlik doğrulamalarını titizlikle yapmalı; özellikle hassas verilerle ilgili işlevlerde çok daha dikkatli olmalı.
3. Kullanıcı eğitimi: Kullanıcılar da şüpheli bağlantılara tıklamamaya dikkat etmeli ve iki adımlı doğrulamayı etkinleştirmek gibi yollarla güvenlik farkındalığını artırmalı.
4. Güvenlik araştırmasının gerekliliği: Asya sohbet uygulamalarına yönelik güvenlik araştırmaları daha aktif yürütülmeli; böylece daha fazla açık önceden bulunup düzeltilebilir.
5. Alternatif önerisi: KakaoTalk dışında Signal ve Telegram gibi güvenlik odaklı mesajlaşma uygulamaları da değerlendirilebilir.