Deutsche Übersetzung: https://github.com/alanleedev/KoreaSecurityApps/…
Inhaltsverzeichnis
- Zusammenfassung der Erkenntnisse
- Wie Banking-Websites Anwendungen verteilen
- Funktionsweise von Wizvera VeraPort
- Schutz vor bösartigen Richtlinien
- Sicherheitslücken
- Unzureichender Schutz von Daten während der Übertragung
- Zu weit gefasste
allowedDomains - Wer besitzt den Signaturschlüssel?
- Zertifizierungsstellen
- Exploit, der die Lücken kombiniert
- Verwendung bestehender Richtliniendateien auf einer bösartigen Website
- Ausführung einer bösartigen Binärdatei
- Entfernen visueller Hinweise
- Informationsleck: lokale Anwendungen
- Schwachstellen im Webserver
- HTTP Response Splitting
- Persistentes XSS über Service Worker
- Das Problem melden
- Was wurde behoben?
- Verbleibende Probleme
Dies ist der (vorerst?) letzte Beitrag in der Reihe über koreanische Sicherheitsanwendungen.
Anders als bei den vorherigen Anwendungen scheinen viele der gefundenen Probleme behoben worden zu sein, bevor der Artikel veröffentlicht wurde.
Dennoch bleiben weiterhin strukturelle Probleme bestehen.
3 Kommentare
Beschämend.
Zur Referenz: Die inländische Berichterstattung über den Vorfall, der im späteren Teil des Haupttexts erwähnt wird und bei dem KrCERT versehentlich die E-Mail-Adressen mehrerer Sicherheitsexperten offengelegt hatte, lautet wie folgt.
Wenn sich ausgerechnet KrCERT (KISA Internet Schutzland), das eigentlich die Sicherheit von Staat und Bürgern schützen soll, so verhält,
wie schlimm muss es dann erst bei anderen Regierungs- und öffentlichen Einrichtungen sein....
Es ist beschämend, dass man unter solchen Umständen trotzdem von einer digitalen Vorreiternation spricht