{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n Cette vulnërabilitëreprësente un risque inacceptable. L'applicationne doit pas ëtre\nmise en Ëigne; si eIle 1'estdëjä, eIle doit ëtre dësactivëe immëdiatement.\n\nCette vulnërabilitë doit ëtre corrigëe immëdiatement, ëventuellement dans le cadre\nd'un correctif d'urgence. D'autres mesures de minimisation des risques doivent ëtre\nenvisagëes jusqu'ä ce que le correctif soit en place\n\nCette vulnërabilitëdoit ëtre corrigëe, mëme si cela entraTnedes coüts\nsupplëmentaires (modërës) ou d'autres inconvënients (modërës)\nLa correction peut ëtre incluse dans la planification des versions ultërieures sur une\nbase rëguliëre\n\nTableau 3: Rësultats trouvës dans SocialScan\n\nNr. Vulnërabilitës Catëgorie de\nrisques\n\nBlind HTML Injection High\n\nInsecure Direct Object References High\n\nApplication is Vulnerable To Email Flooding Attack Medium\n\n34/62\n0\n\n4* Insecure Logging Of The Application (betrifft nur Android) lediu\n\n5* Application is Vulnerable To Improper Token Management Low\n\n6* ApplicationAccepts Special Character As User Input Low\n\n7* Valid Account Can Be Brute Forced Low\n\n8* Missing API Rate Limiting Low\n\n9* Application Does Not Have A Strong Password Policy Low\n\n10 Application is Vulnerable To Reverse Engineering Low\n\n11* Cleartexttrafficis Set To True (betrifft nur Android) Low\n\n12* Application is Vulnerable To Simultaneous Login Low\n\n13* Application's Request/Response Reveals Sensitive Information Low\n\n14* SSL Pinning Can Be Bypassed Low\n\n15* Insecure Data Storage in File System Low\n\n16’ Insecure Content Security Policy (Csp)/X-Frame-Options Low\n\n17* Missing HSTS Header Low\n\n18* InformationLeakage From Clipboard Low\n\n19* Sensitive Data Disclosure in Recent Apps Low\n\n20 DefaultWeb Page Found Low\n\n21* Application Has Set Insecure Permissions Low\n\n22 Programming Language And Version Disclosure Low\n\n23 Application Displays Web Server Banner Low\n\n24 Using Known Vulnerable Components Low\n\n25 Application Works in Rooted Device Low\n\n26 Application Runs On Older Platform Information\n\n27 Printstacktraceo Function is Used in The Application Information\n\n35/62\n0\n\nsetAILowFileAccess Enabled\n\n2.9.4. Conclusions de 1’auditIndusface\nLe sous-chapitre 2.9.4 rësume les diffërentes constatations du PFPDT comportant un risque de perte\nde donnëes, de corruptionde donnëes ou de dommages aux donnëes.\n\na. Blind HTML tnjection[1]5\nL'injectionHTML est utilisëe lorsque I'entrëedans une application n'est pas validëe. Cela permet de\nmodifierle contenu d'une page web et tous les utilisateurs qui naviguent sur cette page verront le\ncontenu modifië. Ainsi, sur la page d'enregistrement de SocialScan, un attaquant peut injecter un HTML\nPayload(par exemple,une chaTnede code malveillant)dans les champs de donnëes et rëussir ä\nI'enregistrer.L'injectionHTML est exëcutëe avec succës dans les modëles d'email.\n\nb. Insecure Direct Object References [2]\nLes rëfërencesdirectesä des objetsnon sëcurisëes (IDOR) constituentun problëmede sëcuritë qui se\nproduit lorsque le dëveloppeur de I'application utilise un pointeur pour accëder directement ä un objet\nd'implëmentation interne, mais ne fournit pas de contröles d'accës et/ou de vërifications d'autorisation\nsupplëmentaires. Un utilisateurde SocialScan est lië ä son numëro d'identificationd'utilisateur par I'ID\nde I'organisation. L'attaquant, ä son tour, se connecte ä SocialScan et peut simplement modifier I'ID de\nI'organisationä volontë. Cela permetä I'attaquantd'avoiraccës aux dëtaiËsde I'utilisateurcorrespondant\n(numëro de tëlëphone mobile et mot de passe).\n\nc. Insecure Logging Of The Application [4]\nDans SocialScan, les donnëes sensibles d'un point de vue technique sont enregistrëes et peuvent\nconduireä des fuites d'informations.Dans SocialScan, les donnëes sensibles teIles que le nom de\nI'utiIËsateur\net le mot de passe sont stockëes sans aucune < obfuscation >.\n\nd. Application is Vulnerable To Improper Token Management [5]\nLe rapport indiqueque dans SocialScan, une session reste active mëme aprës la dëconnexion. Cela\nsignifiequ’une session peut ëtre reprise et rëutilisëe par un autre utilisateur.\n\n"}