Tradução em coreano: https://github.com/alanleedev/KoreaSecurityApps/…
Índice
- Resumo do que foi descoberto
- Como os sites de bancos distribuem aplicativos
- Como o Wizvera VeraPort funciona
- Proteção contra políticas maliciosas
- Brechas na segurança
- Falta de proteção dos dados em trânsito
allowedDomainsconfigurado de forma ampla demais- Quem tem a chave de assinatura?
- Autoridades certificadoras
- Exploit combinando as brechas
- Uso de arquivos de política existentes em um site malicioso
- Execução de binários maliciosos
- Remoção de pistas visuais
- Vazamento de informações: aplicativos locais
- Vulnerabilidades do servidor web
- HTTP Response Splitting
- XSS persistente por meio de service worker
- Reportando o problema
- O que foi corrigido
- Problemas restantes
Este é o último texto (por enquanto?) da série sobre aplicativos de segurança coreanos.
Diferentemente dos aplicativos anteriores, parece que muitos dos problemas encontrados foram corrigidos antes da publicação do texto.
Mas ainda existem problemas estruturais que permanecem.
3 comentários
Que vergonha.
A título de referência, a cobertura nacional do incidente mencionado na parte final do texto, em que o KrCERT acabou expondo por engano os endereços de e-mail de vários especialistas em segurança, é a seguinte.
Se até a KrCERT (KISA Internet Protection Nara), que deveria proteger a segurança do país e da população, está desse jeito,
imagina os outros órgãos do governo e instituições públicas....
É vergonhoso que, mesmo numa situação dessas, ainda fiquem falando que somos uma potência digital