Artigo de entrevista com Vladimir Palant, que divulgou vulnerabilidades em apps de segurança da Coreia
(thereadable.co)Conteúdo de uma entrevista por escrito feita em janeiro sobre a divulgação, por Vladimir Palant, de várias vulnerabilidades em aplicações de segurança coreanas:
- "Em um e-mail enviado ao The Readable, a equipe de análise de vulnerabilidades da Agência de Segurança da Internet da Coreia afirmou que, após avaliar os problemas de segurança reportados pelo pesquisador de cibersegurança, concluiu que não se tratava de vulnerabilidades de alto risco capazes de causar danos graves."
- Uma autoridade do Instituto de Segurança Financeira, que está investigando o caso de perto, disse: “Consideramos baixa a possibilidade de que essa vulnerabilidade seja realmente explorada por invasores.” “Independentemente do impacto, ainda é uma vulnerabilidade que precisa ser tratada.”
- Palant alertou: “É apenas uma questão de tempo até que alguns criminosos descubram as aplicações e comecem a explorá-las.”
- Palant afirmou categoricamente: “Não se pode esperar que empresas ajam de forma ética e construam software seguro de boa-fé.” Ele enfatizou a importância de pesquisadores independentes revisarem vulnerabilidades de segurança em aplicações críticas.
Tradução em coreano: https://github.com/alanleedev/KoreaSecurityApps/…
4 comentários
Se a vulnerabilidade é clara e já está toda divulgada, o que significa dizer que a possibilidade de ela ser realmente explorada é baixa?
“A chance de isso ser realmente usado na prática é baixa” é a resposta que costuma voltar quando se pergunta por que as recompensas do programa de bug bounty da KISA são tão baixas. Pelos critérios deles, só é considerada uma vulnerabilidade de alto risco, com alta possibilidade de exploração, algo que permita ir de corrupção de memória até execução arbitrária de código.
Provavelmente o sr. Palant não pode receber recompensa por reporte de vulnerabilidade porque é estrangeiro, mas coreanos podem receber dinheiro ao reportar esse tipo de falha de segurança à KISA por meio do programa de bug bounty.
Então, se coreanos recebem dinheiro ao reportar vulnerabilidades (embora, claro, o fato de que tal vulnerabilidade existia provavelmente acabaria sendo abafado em silêncio), por que um estrangeiro resolveu escrever sobre esse problema publicamente (...)
Pelo trecho do link da tradução em coreano, onde diz: "Neste caso, esta fonte explicou que seriam necessárias várias condições prévias, como induzir o usuário por meio de um site de phishing cuidadosamente elaborado. Além disso, mesmo que o exploit seja distribuído com sucesso, a chance de isso levar a danos críticos é baixa.",
parece algo na linha de
'a porta não está trancada, mas o caminho até essa porta é bem complicado'
não me parece uma resposta muito boa