Artículo de entrevista a Wladimir Palant sobre la divulgación de vulnerabilidades en apps de seguridad coreanas
(thereadable.co)Contenido de una entrevista escrita realizada en enero sobre la divulgación por parte de Wladimir Palant de varias vulnerabilidades en aplicaciones de seguridad coreanas:
- "El equipo de análisis de vulnerabilidades de la Agencia de Internet y Seguridad de Corea declaró en un correo enviado a The Readable que, tras evaluar los problemas de seguridad reportados por el investigador de ciberseguridad, concluyó que no se trataba de vulnerabilidades de alto riesgo capaces de causar daños graves."
- Un funcionario del Instituto de Seguridad Financiera, que está investigando este problema de cerca, dijo: “Consideramos que la probabilidad de que esta vulnerabilidad sea explotada en la práctica por atacantes es baja.” “Independientemente de su impacto, sigue siendo una vulnerabilidad que debe ser atendida.”
- Palant advirtió: “Es solo cuestión de tiempo antes de que algunos delincuentes descubran las aplicaciones y empiecen a explotarlas.”
- Palant afirmó: “No se puede esperar que las empresas actúen de manera ética y construyan software seguro de buena fe.” También subrayó la importancia de que investigadores independientes revisen las vulnerabilidades de seguridad en aplicaciones críticas.
Traducción al coreano: https://github.com/alanleedev/KoreaSecurityApps/…
4 comentarios
¿Qué significa que, aunque la vulnerabilidad es clara y toda la información ya está publicada, la posibilidad de que realmente se explote sea baja?
"Es poco probable que se use realmente" es la respuesta que suele volver cuando preguntas por qué las recompensas del programa de bug bounty de KISA son tan bajas. Según sus criterios, solo se considera una vulnerabilidad de alto riesgo y con alta probabilidad de explotación si permite llegar hasta ejecución arbitraria de código mediante corrupción de memoria.
Probablemente el señor Palant no pueda recibir una recompensa por reportar vulnerabilidades porque es extranjero, pero los coreanos sí pueden recibir dinero a través del programa de bug bounty si reportan este tipo de fallas de seguridad a KISA.
Entonces, si un coreano reporta una vulnerabilidad y además le pagan por ello (aunque, claro, el hecho de que existía esa vulnerabilidad quedará discretamente enterrado), la razón por la que un extranjero escribió públicamente sobre este problema es (...)
A juzgar por la frase en el enlace de la traducción al coreano: "En este caso, este funcionario explicó que se requieren varias condiciones previas, como atraer al usuario mediante un sitio web de phishing elaborado con gran sofisticación. Además, incluso si el exploit se despliega con éxito, es poco probable que provoque daños críticos.",
la sensación sería algo así como:
"La puerta no está cerrada, pero el camino para llegar hasta esa puerta es muy accidentado".
No parece una muy buena respuesta.