Veraport: まともに動作しない韓国のアプリケーション管理ソフトウェア
(palant.info)韓国語訳: https://github.com/alanleedev/KoreaSecurityApps/…
目次
- 発見内容の要約
- 銀行ウェブサイトがアプリケーションを配布する方法
- Wizvera Veraportの動作方式
- 悪意あるポリシーからの保護
- セキュリティ上の穴
- 転送中データ保護の不足
- 広すぎるallowedDomainsの設定
- 署名鍵は誰が持っているのか?
- 認証機関
- 穴を組み合わせたエクスプロイト (exploit)
- 悪意あるウェブサイトで既存のポリシーファイルを使用
- 悪意あるバイナリの実行
- 視覚的手がかりの除去
- 情報漏えい: ローカルアプリケーション
- ウェブサーバーの脆弱性
- HTTPレスポンス分割 (Response Splitting)
- サービスワーカーによる永続的XSS
- 問題の報告
- 何が修正されたのか
- 残された問題
韓国のセキュリティアプリケーションに関する連載の、(ひとまず?)最後の記事です。
以前のアプリケーションと違って、見つかった多くの問題は記事の公開前にかなり修正されたようです。
しかし、依然として残っている構造的な問題もあります。
3件のコメント
恥ずかしいですね。
参考までに、本文後半でKrCERTが複数のセキュリティ専門家のメールアドレスを誤って流出させた事件についての韓国国内報道は以下のとおりです。
国家と国民の安全を守るはずのKrCERT(KISAインターネット保護ナラ)があの有様なのだから、
ほかの政府機関や公共機関は推して知るべしでしょう……。
こんな状況なのにデジタル強国だと騒いでいる事実が恥ずかしいですね