Artikel wawancara dengan Wladimir Palant yang mengungkap kerentanan aplikasi keamanan Korea
(thereadable.co)Berikut isi wawancara tertulis yang dilakukan pada bulan Januari mengenai pengungkapan berbagai kerentanan pada aplikasi keamanan Korea oleh Wladimir Palant:
- "Dalam email yang dikirim ke The Readable, tim analisis kerentanan Korea Internet & Security Agency menyatakan bahwa setelah mengevaluasi masalah keamanan yang dilaporkan oleh seorang peneliti keamanan siber, mereka menyimpulkan bahwa itu bukan kerentanan berisiko tinggi yang dapat menyebabkan dampak serius."
- Seorang pejabat dari Financial Security Institute yang sedang menyelidiki masalah ini secara saksama mengatakan, “Kami menilai kemungkinan kerentanan ini benar-benar dieksploitasi oleh penyerang rendah.” “Terlepas dari dampaknya, ini tetap merupakan kerentanan yang harus ditangani.”
- Palant memperingatkan, “Hanya masalah waktu sebelum sebagian penjahat menemukan aplikasi tersebut dan mulai mengeksploitasinya.”
- Palant menegaskan, “Kita tidak bisa berharap perusahaan bertindak etis dan membangun perangkat lunak yang aman dengan itikad baik.” Ia menekankan pentingnya peninjauan oleh peneliti independen terhadap kerentanan keamanan pada aplikasi-aplikasi penting.
Terjemahan bahasa Korea: https://github.com/alanleedev/KoreaSecurityApps/…
4 komentar
Karena kerentanannya sudah jelas dan semuanya sudah dipublikasikan, apa maksudnya kemungkinan untuk benar-benar dimanfaatkan rendah?
"Kemungkinan untuk benar-benar digunakan rendah" adalah jawaban yang sering kembali ketika ditanya mengapa hadiah dalam program bug bounty KISA begitu kecil. Menurut standar mereka, kerentanan berisiko tinggi dan berpotensi besar untuk dieksploitasi adalah yang sampai memungkinkan eksekusi kode arbitrer melalui memory corruption.
Mungkin karena Tn. Palant adalah orang asing, ia tidak bisa menerima hadiah pelaporan kerentanan, tetapi warga Korea bisa mendapatkan uang melalui program bug bounty jika melaporkan kerentanan keamanan seperti ini ke KISA.
Kalau begitu, orang Korea bisa mendapat uang jika melaporkan kerentanan (tentu saja fakta bahwa kerentanan seperti itu pernah ada akan diam-diam dikubur), jadi alasan orang asing menuliskan masalah ini secara terbuka adalah (...)
Setelah melihat tautan terjemahan bahasa Korea, dari adanya kalimat, "Dalam kasus ini, pihak terkait menjelaskan bahwa diperlukan berbagai prasyarat, seperti memancing pengguna melalui situs web phishing yang dibuat dengan sangat cermat. Selain itu, meskipun exploit berhasil disebarkan, kemungkinan berujung pada kerusakan fatal juga rendah,"
rasanya kurang lebih seperti, 'pintunya memang tidak terkunci, tapi jalan untuk sampai ke pintu itu sangat terjal.'
Sepertinya itu bukan jawaban yang terlalu bagus.