{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n Pour analyser les applications mobiles, Navixia SA suit une mëthodologie basëe sur I'ëvaluation des\nrisques OWASP. Cette approche suit un processus structurë et rend tes rësultats obtenus comparables\nentre eux. Ä cette fin, pour chaque ëlëment identifië, la vulnërabilitëest dëcrite et son degrë de risque\nest cartographiësur la base du systëme normalisë CVSS (Common Vulnerability Scoring System). Les\nrësultats sont ëvaluës selon les critëres suivants :\n\n• Exploitabilitë : les vecteurs d'accës, la complexitë de I'accës et I'authentificationëvaluent comment\nun attaquant peut accëder ä une vulnërabilitë et quelles conditions supplëmentaires, le cas ëchëant,\ndoivent ëtre remplies pourqu'elle soit exploitëe.\n\n• Implications : Les indices de protection des donnëes, d'intëgritë du systëme et de disponibilitë\nmesurent la maniëre dont une vulnërabilitë peut avoir un impact direct sur I'infrastructure\ninformatique une fois exploitëe.\n\nDans le CVSS, le score total d'une vulnërabilitë rësulte de la combinaison d'une sërie d'ëvaluations\nisolëes d'aspects indËviduels(mëtriques), en tenant compte des pondërationsenregistrëes dans la\nformule de calcul.\n\nLes indices de mesure ä cet effet sont indiquës ci-dessous avec les valeurs attribuëes correspondantes,\n\nCet indice ëvalue Ie niveau d'autorisation qu'un attaquant doit avoir afin d'exploiter avec succës la\nvulnërabilitë.\n\nHaut: L'attaquant dispose de privilëges qui lui donnent accës ä des röles administratifs\nimportants.\n\nMoyen : L’attaquantdispose de privilëges d'utilisateurde base qui peuvent affecter les\nparamëtres et les fichiers d'un utilisateur.\nFaible: L'attaquantn'a pas besoin d’ëtre authentifië\n\nlci, I'ëvaluationest basëe sur I'impactd'une vulnërabilitësur la confidentialitëdes donnëes traitëes.\n\nConfidentialitë\nHaut: 11y a une perte totalede confidentialitëet un attaquant obtËentI'accës ä toutes les\nressources du composant affectë.\n\nMoyen : Un attaquant peut accëder ä certaines donnëes.\nFaible: II existe un faible risque d'accës aux donnëes au sein du composant concernë.\n\n30/62\n0\n\nCet indice dëcrit Ë'impactd'une vulnërabilitë sur I'intëgritë du systëme.\n\nHaut: 11en rësulte une perte totale d'intëgritë. Par exemple, l’attaquant peut modifier\nn'importequel fichier (ou ensemble de fichiers).\n\nMoyen : La modificationde donnëes est possible dans une mesure limitëe.Cependant, la\nmodificationdes donnëes n'a pas d'impact significatif sur le composant concernë.\nFaible: 11y a un faible risque de perte d’intëgritë.\n\nLe degrë de danger est ëvaluë dans le rapport de Navixia SA sur la base des ëlëments ci-dessus sur\nune ëchelle de O ä 10.\n\n• Score entre 9,0 et 10: critique\n• Score entre 7,0 et 8,9: 111:jIt\n• Score entre 4,0 et 6,9: ,\n• Score entre0,1 et 3,9: faible\n• Score 0: ä titre d’information\n\nDu point de vue du PFPDT, les interprëtationssuivantes doivent servir de rëfërence, en fonction de\nI'indiced’ëvaluation, afin de prëvenir les risques de violation de la protection des donnëes.\n\nCritique: Cette vulnërabilitëreprësente un risque inacceptable. L’application ne doËtpas ëtre\nmise en ligne ; si eIle 1’estdëjä, eIle doit ëtre dësactivëe immëdiatement.\nHaut; Cette vulnërabilitëdoit ëtre corrigëe immëdiatement, ëventuellementdans le cadre\nd'un correctif d'urgence. D'autres mesures de minimisation des risques doivent ëtre\nenvisagëes jusqu'ä ce que le correctif soit en place.\n\nMoyen : Cette vulnërabilitëdoit ëtre corrigëe, mëme si eIle entraine des coüts\nsupplëmentaires (modërës) ou d'autres inconvënients (modërës)\nFaible: Le correctif peut ëtre inclus dans la planification des versions sur une base rëguliëre.\n\nPar la suite, les conclusions du document < GVD7009 Recheck SocialPass SocialScan_v1.2 » sont\ndëcrites.\n\n2. 8. 7. Interaction avec la plateforme (6.2.6 et 6.3.64)\nActuellement, le serveur ne vërifie pas les mëtacaractëres. Le cross-site scripting (XSS) n'est souvent\nque le prëcurseur d'attaques plus graves. Actuellement, aucune vërification des donnëes n’a lieu avant\nleur exëcution par le serveur\n\n4 Les chiffres se rëfërent aux chapitres du document [A] < GVD7009_Recheck_SocialPass_SocialScan_v1 .2 >\n\n31/62\n2.8.2. Qualitë du code et packaging (6.3.7)\nComme dëcrit dans le rapport d'audit, un attaquant peut modifier I'APK (paquet Android) afin qu'il\ncontienne une ancienne version d'une bibliothëqueexterne sans que cela soit dëtectë par la signature.\nToutefois, si cette ancienne bibliothëquecontient des vulnërabiIËtës,l’APK peut ëtre installë sur un\ntëlëphone mobile, par exemple, sans briser la signature existante. II est ainsi possible d'exploiter les\nfailles de sëcuritë des anciennes bibËiothëques.\n\n"}