https://news.hada.io/topic?id=15528
영향을 받는 버전: 카톡 10.4.3
카카오톡의 딥링크 유효성 검사 문제로 공격자가 임의의 Javascript 코드를 실행시킬 수 있음.
* 딥링크란 클릭하면 특정 앱을 연결해주는 링크임.
이를 통해 사용자의 access token을 공격자의 서버로 전송해 계정 탈취 가능.
이 취약점은 CVE-2023-51219로 등록되었음.
자세한 기술적 설명은 아래 링크:
https://news.hada.io/topic?id=15537
카톡의 최신 버전은 10.8.3이니 지금 즉시 업데이트 하길 바랍니다.
Ps. 이 버그를 찾아낸 사람에 따르면
우리는 카카오의 버그 바운티 프로그램을 통해 2023년 12월에 이 취약점을 보고했습니다 . 다만, 현상금은 한국인만 받을 수 있기 때문에 저희는 아무런 보상도 받지 못했습니다🤯
카카오는 즉각적인 수정 조치로 https://buy.kakao.com 을 다운시키고 /auth/0/cleanFrontRedirect?returnUrl= 리디렉션을 제거했습니다.
라고 한다.
50개의 댓글
무분별한 사용은 차단될 수 있습니다.
| 제목 | 글쓴이 | 추천 수 | 날짜 |
|---|---|---|---|
| Ai로 만든 좋았쓰 고양이 노래 4 | 6월9일이생일임 | 15 | 방금 전 |
| 오늘자 방송 샤이니 셜록 ㄷㄷㄷ...MP4 29 | 단무지 | 28 | 12 분 전 |
| 일본여자와 결혼한 주갤러 39 | 에어부산 | 47 | 47 분 전 |
| 임영웅 드릉드릉 영상 댓글 상황.jpg 36 | 나는왜귀여울까 | 49 | 52 분 전 |
| 그리스 일부 업종 주6일제로 역주행 9 | 부분과다른전체 | 26 | 54 분 전 |
| 르노 인사이드 사과문 근황 27 | 69746974 | 54 | 59 분 전 |
| 방송에 나간 정신과 의사가 욕먹은 이유 13 | IlllIIIllIIl | 49 | 1 시간 전 |
| 제손을 봐주시겠습니까? 이건 혁명입니다 22 | 엄복동 | 37 | 1 시간 전 |
| 너넨 아프면 참지말고 병원 꼭가라 33 | 6월9일이생일임 | 56 | 1 시간 전 |
| 캐스퍼 논터보 모델 구매를 말리는 댓글...jpg 36 | 뚱전드 | 36 | 1 시간 전 |
| 개발언어별 비교 26 | 날조와선동 | 36 | 1 시간 전 |
| 요즘 코딩판 18 | 날조와선동 | 33 | 1 시간 전 |
| ??? : 우리 집에 프린터가 없어서 그런데 비행기표 좀 출력해줘 15 | 6월9일이생일임 | 50 | 1 시간 전 |
| 넷플릭스 19금 컨텐츠 특징....mp4 30 | 엄복동 | 52 | 1 시간 전 |
| 은근히 사람 차별하면서 가려받는다는 루피 해적단 34 | 멍멍몬 | 70 | 2 시간 전 |
| 사고 나면 SD카드를 지켜야 하는 이유 26 | 에어부산 | 72 | 2 시간 전 |
| 작가가 실수로 너무 강하게 설정한 악당 62 | 멍멍몬 | 64 | 2 시간 전 |
| 아주 개판5분전인 결혼 예복시장 🤵👰♂️근황 33 | 닉네임변경35 | 65 | 2 시간 전 |
| 손가락 논란 터진곳들 공통점 15 | 공대백수 | 49 | 2 시간 전 |
| 아침에 어떤 개새끼가 차 안빼주길레 30 | 레모투스 | 58 | 2 시간 전 |
노가다김씨
보상 안해주는 카카오도 레전드다 ㅋㅋㅋ
Dhdhsjak
한국에게 '공정'을 바란 대가가 어떠냐 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
좋았쓰냥이
잘모르니까 그냥 ㅎㅎㅈㅅ;;; 하면 될꺼야 아마추어들은 이야기해도 잘모를테니까 업데이트 공지에 살짝 내용 넣어놓는걸로 처리하자 좋았-쓰!
유아학교
작년에 카톡 오픈채팅도 털렸는데 ㅋㅋ개인정보 유출 아니라고 발뺌하는 중
오레올
아 인정하면 주가 박살난다구 ㅠ
Edinburgh
딱 그 뒤로 광고 스팸 존나 옴....
유아학교
ㅇㅇ 카톡 닉넴으로 스팸오더라 ㅋㅋ
그웬스테이시
카카오 ㅋㅋㅋ
도텔
내수 빨대 원툴 ㅋㅋ
아임고나컴객체
진짜 저분... 너무 고맙네.
다사니
이제 버그제보 안할듯 ㅋㅋ
프갤갤갤갤
보안취약점 알려줬는데 보상을 안줘?
뭐지? 취약점으로 협박이라도 당하고 싶은 것인가? ㅋㅋ
영포티감별사
한국인이 찾아야만 준다는건 무슨 터진정책이냐?ㅋㅋㅋㅋ
미녀
한국인이 발견해도 아무것도 안줄듯 ㅋㅋ
훗쇼
한국인이 발견하면 취약점 악용해ㅛ으니 개정블락 때려버리면 됨
sdffs
저 현상금이 돈줄테니 알아낸 방법으로 공격하지 말라 뜻도 있는데 뭐 저런식으로 운영하지
뽀뽀롭뽀뽑뽀삡뽑
카톡 업뎃하면 광고 늘어나는데...
하드보지드
다음부턴 알려주지 말고 그냥 니들이 써라 ㅋㅋ
회차인생
스마트폰 기준 버전인가보네
PC랑 맥버전은 4점대 3점대네 버전들이.
Calibration
내수원툴 갈라파고스 원흉기업ㅋㅋ
햄스터좋아
ㅂㅅ
한식사랑나라사랑
보상금 주는데 한국인인게 뭔 상관이냐
살아있는자를수선하기
이제 해외 화이트해커들은 취약점 찾아도 안알려주고 오히려 다른곳(악용할 수 있는 단체)에다 팔아버릴 가능성도 있는거 아님?
oipddgr
카카오알인가 3원 줄때부터 알아봤다ㅋㅋ
판판야
라인가자~
아마도
라인 일본 철수하면서 한국시장 빡세게 마케팅 들어가면 좋겠다
라인 갈아타고 싶어도 다 같이 갈아타는거 아니면 의미 없는지라
걍둉
카카오페이에서 돈 털린 이후로 연결된 계좌 카드 싹다 지워버림 내가 알지도 못하는 구글계정에서 5.5만원 결제해서 나가고 환불은 구글에 요청하세요 구글은 그 계정 뭔지 알아오세요 ㅋㅋ 하면서 환불도 안해주더라 절대 카카오페이에 돈 연결해놓지 마라
폰데링
대 카 오
황 카 오
소판돈
pc버전은 상관없음? 4.0.6.3920 인데
Regentag
아마도 상관없을것 같음요
안전좋아좋아좋아
모든버전이 영향있었지만 이미 해결되서 지금은 상관없음
바케모노
ㅋㅋ뭐 카카오만 그런건 아님
코딩 테스트 사이트 내가 취약점 알려줬는데, 고맙단말 한마디만 들었음
여기 대기업, 대회에서도 자주 코테열기도 하고
대기 중인 시험 문제, 끝난 문제 전부 볼 수 있는 거 였는데
맘같아선 걍 언론에 뿌리고 싶은데 내 신분 밝히고 알려줘서 걍 참음
산기슭곰발냄새벽녘
백준?
바케모노
안알랴줌
산기슭곰발냄새벽녘
흥칫뿡이다
아는게없는연구원
? ㅋㅋ 누가 알려달라함? 그게 범죄인거야 바운티 받는 사이트 아니면 ㅇㅇ
바케모노
병신임?
그럼 카카오도 범죄도 아닌데 사람들이 왜욕함 병신새끼야?
아는게없는연구원
왜 욕을함? 카카오톡은 버그바운티가 있잖아 ㅋㅋ 니가 버그바운티 있는곳에 접수해서 넣던가 통신법 위반해놓고 당당하네
년째못헀음
좆카오말고 다른 메신저로 갈아탈 계기가 생겨야되는데
언제까지 좆카오 독점이려나
ㄴㅓㄱㅔㅇㅣ
모든 기반이 뿌리내려서 이젠 힘들걸
년째못헀음
자국민 내수경제 빨아먹는거 원툴 메신저
하다못해 외화를 벌어오는거도 아니고 ㅋㅋㅋ
양정의숙
카카오가 문제의 url을 삭제해버려서 이제 재현 불가함. 업데이트 할필요는 없는듯
닉네임변경권
역시 카카오똥
판다곰
외국인한테도 현상금 줘야지
막말로 쟤네가 어차피 돈도 못받는거 그냥 돈도 받는 블랙마켓에 뿌려야지 하면 더 ㅈ되는거 아님?
제로데이공격 취약점 존나 비싸게 거래될텐데
CI
카카오 고객센터도 그렇고 신고대응도 글코 좆좆소같음 그러고 문어발확장이나하지
HD20
어? 얼마전 민방위 카카오톡 통지 받은거 네이버로그인 했다가 바로 네이버 아이디 해킹당한적 있는데 혹시 이거 아직도 취약점 있는거 아닌가?
안전좋아좋아좋아
그런취약점은 아님
크르릉컹컹컹음메
스미싱 당한거 아님 ..?
BlairAthol
덩치만커진 내수원툴 좆소기업ㅋㅋㅋ
크로비
버그바운티로 돈 받으려면 취약점 비공개가 원칙인데 cve부터 박아버리면 돈 대신 명성을 얻겠다는거임
외국인이라 못받는것도 있겠지만, 취약점을 외부에 공개해버려 못받는것도 이유가 클것같음