VeraPort : le logiciel coréen de gestion d’applications qui ne fonctionne pas correctement
(palant.info)Traduction coréenne : https://github.com/alanleedev/KoreaSecurityApps/…
Sommaire
- Résumé des découvertes
- Comment les sites bancaires déploient des applications
- Fonctionnement de Wizvera VeraPort
- Protection contre les politiques malveillantes
- Failles de sécurité
- Protection insuffisante des données en transit
allowedDomainsconfiguré de manière trop large- Qui détient la clé de signature ?
- Autorité de certification
- Exploit combinant plusieurs failles
- Utilisation du fichier de politique existant depuis un site web malveillant
- Exécution de binaires malveillants
- Suppression des indices visuels
- Fuite d’informations : applications locales
- Vulnérabilités du serveur web
- Fractionnement de réponse HTTP (Response Splitting)
- XSS persistant via un service worker
- Signaler le problème
- Ce qui a été corrigé
- Problèmes restants
C’est le dernier article (du moins pour l’instant ?) de cette série sur les applications de sécurité coréennes.
Contrairement aux applications précédentes, il semble que nombre des problèmes découverts aient été largement corrigés avant la publication de l’article.
Mais il reste encore des problèmes structurels.
3 commentaires
C'est embarrassant.
À titre de référence, voici la couverture médiatique nationale de l'incident mentionné vers la fin de l'article, où le KrCERT avait divulgué par erreur les adresses e-mail de plusieurs experts en sécurité.
Quand on voit que KrCERT (Boho Nara, le portail de protection d’Internet de la KISA), censé protéger la sécurité de l’État et des citoyens, en est à ce niveau,
on imagine à peine ce qu’il en est dans les autres administrations et organismes publics....
Il est honteux qu’on continue malgré tout à se vanter d’être une grande puissance du numérique.