카카오톡 10.4.3 버전에서 원클릭 익스플로잇 취약점(CVE-2023-51219)이 발견되었습니다. 이 취약점은 딥링크 유효성 검사 미비로 인해 공격자가 웹뷰(WebView)를 통해 자바스크립트를 실행하여 다른 사용자의 계정을 탈취하거나 채팅 메시지를 무단으로 읽을 수 있습니다. 현재 구글 플레이스토어에 등록된 카카오톡 버전은 10.8.3으로, 6월 24일에 업데이트되었습니다.
CVE-2023-51219는 앞서 정리한 것처럼 카카오톡 안드로이드 애플리케이션 10.4.3 버전에서 발견된 취약점입니다. 이 취약점은 딥링크 유효성 검사의 부족으로 인해 발생하며, 웹뷰(WebView) 내에서 자바스크립트를 실행할 수 있게 합니다.
취약점을 통해 공격자는 사용자의 계정을 탈취, 채팅 메시지를 무단으로 읽기, 액세스 토큰을 유출하여 사용자의 계정에 접근등을 할 수 있습니다. 이 취약점의 주요 원인은 카카오톡의 기본 설정에서 종단간 암호화(E2EE)가 활성화되지 않았기 때문입니다. 최신 버전으로 업데이트하여 이 문제를 해결하는 것이 중요합니다.
우리나라 사람들은 메신저 어플 중에서 카카오톡 사용률이 가장 높기 때문에, 이 취약점은 매우 민감할 수 있습니다.
빠르게 업데이트하여 피해를 입지 않도록 주의하시기 바랍니다.
출처
https://www.boannews.com/media/view.asp?idx=130938
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51219
https://stulle123.github.io/posts/kakaotalk-account-takeover/
'보안 뉴스' 카테고리의 다른 글
| 전 세계 수백만 서버를 위험에 노출시키는 새 오픈SSH 취약점 발견돼 (0) | 2024.07.02 |
|---|---|
| 잡플랫 홈페이지, 최근 랜섬웨어 공격으로 먹통... 공무원 시험 대비 수험생 혼란 (0) | 2024.07.02 |
| 친러시아 성향 해킹그룹, 정부24와 KISA 타깃으로 공격 시도? 별다른 피해 없어... (1) | 2024.07.01 |
| 인도네시아 비하 보도 접한 해커, 한국 정부 사이트 등 5곳 디도스 공격 (1) | 2024.06.13 |
| 예상 피해자만 191명, 해킹 통한 네이버 계정 유출 (0) | 2024.06.11 |