Как стать автором
Обновить

Исследователи нашли критическую уязвимость в приложении KakaoTalk, но награда по bug bounty доступна только для корейцев

Время на прочтение1 мин
Количество просмотров1.5K

Исследователи обнаружили критическую уязвимость в популярном в Южной Корее Android-приложении KakaoTalk с более 100 млн активных пользователей. Исследователи сообщили об уязвимости в рамках bug bounty, однако выяснилось, что награду по программе может получить только житель Южной Кореи.

KakaoTalk представляет из себя приложение наподобие китайского WeChat. Помимо платформы для общения, оно предоставляет платёжные услуги, услуги заказа такси, онлайн-шоппинга, электронной почты и так далее. 

Уязвимость, получившая номер CVE-2023-51219, позволяет удалённо запускать произвольный JavaScript-код в WebView и передавать токен доступа в заголовок HTTP-запроса. Токен можно использовать для захвата аккаунта другого пользователя и чтения его сообщений в чате. Она также позволяет при захвате аккаунта перезаписать предыдущий зарегистрированный почтовый адрес пользователя без каких-либо дополнительных проверок.

Как отмечают исследователи, они отправили разработчикам приложения информацию о проблемах безопасности в декабре 2023 года.

«Мы сообщили об уязвимости через программу Kakao Bug Bounty. Однако мы не получили никакой награды, поскольку право на это имеют только корейцы», — отмечается в описании уязвимости. Команда не сообщает, планирует ли она предпринимать какие-либо дополнительные шаги. Сумма вознаграждения по Kakao Bug Bounty варьируется от 50 000 вон до 10 млн вон (от $36 до $7,2 тыс.)

Сообщается, что «в качестве немедленного решения» компания Kakao Corp. удалила https://buy.kakao.com и перенаправление /auth/0/cleanFrontRedirect?returnUrl=. Уязвимую CommerceBuyActivity разработчики удалили в более поздних версиях.

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0+5
Комментарии3

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань