VeraPort: el software coreano de gestión de aplicaciones que no funciona correctamente
(palant.info)Traducción al coreano: https://github.com/alanleedev/KoreaSecurityApps/…
Índice
- Resumen de los hallazgos
- Cómo los sitios web bancarios distribuyen aplicaciones
- Cómo funciona Wizvera VeraPort
- Protección contra políticas maliciosas
- Brechas en la seguridad
- Falta de protección de los datos en tránsito
allowedDomainsconfigurado de forma demasiado amplia- ¿Quién tiene la clave de firma?
- Autoridades de certificación
- Un exploit que combina las brechas
- Uso de un archivo de políticas existente desde un sitio web malicioso
- Ejecución de un binario malicioso
- Eliminación de pistas visuales
- Filtración de información: aplicaciones locales
- Vulnerabilidades del servidor web
- HTTP Response Splitting
- XSS persistente mediante un service worker
- Reportar el problema
- Qué se corrigió
- Problemas que siguen pendientes
Este es el último artículo (¿por ahora?) de la serie sobre aplicaciones de seguridad coreanas.
A diferencia de aplicaciones anteriores, parece que muchos de los problemas encontrados fueron corregidos antes de que se publicara el artículo.
Pero todavía quedan problemas estructurales.
3 comentarios
Qué vergüenza.
Como referencia, la cobertura nacional del incidente mencionado hacia la segunda mitad del texto principal, en el que KrCERT filtró por error las direcciones de correo electrónico de varios expertos en seguridad, es la siguiente.
Si una entidad como KrCERT (KISA Internet Protection Nara), que se supone debe proteger la seguridad del país y de sus ciudadanos, está así,
ya se imaginarán cómo estarán otras dependencias del gobierno y organismos públicos....
Da vergüenza que, aun en esta situación, sigan presumiendo que somos una potencia digital.