Hi-TechХабрахабр

«У вас нет доступа к текущей молитве»: hi-tech четки из Ватикана взломали за 15 минут

Несколько дней назад Ватикан рассказал об электронных четках, которые получили название «Click to Pray eRosary». Это высокотехнологичное устройство, которое работает по схожему с фитнес-трекерами принципу. Так, четки отслеживают количество пройденных шагов и общую дистанцию, которую преодолел пользователь. Но оно контролирует еще и отношение верующего к отправлению религиозных обрядов.

При этом девайс подключается к приложению с аудиоинструкциями, которые предназначены для молитв, там же есть и фотографии, видео и т.п. Устройство активируется, когда верующий начинает креститься. Все бы хорошо, но практически сразу после выхода четки взломал специалист по информационной безопасности, как оказалось, это несложно.
К слову, этот девайс вовсе не бесплатный, Ватикан продает его по $110, после активации устройство подключается к Папской всемирной сети молящихся (Pope's Worldwide Prayer Network). Для того, чтобы верующий не запутался, четки отмечают, какая молитва была произнесена и сколько раз.

Проблему с защитой информации пользователей обнаружил французский специалист по информационной безопасности Баптист Роберт (Baptiste Robert). Но, как оказалось, данные молящихся, которые используют электронные четки, могут стать легкой добычей злоумышленников. Уязвимость дает злоумышленнику контроль над учетной записью владельца устройства. Он взломал четки (странное, конечно, сочетание слов — «взломать четки») из Ватикана всего за 15 минут.

«Эта уязвимость весьма существенная, поскольку позволяет атакующему получить контроль над аккаунтом и его персональными данными», — заявил Роберт. Для того, чтобы получить доступ к аккаунту, нужно лишь знать электронный адрес пользователя.

Ватикан никаких комментариев относительно этой проблемы в СМИ не давал. Тем не менее, Роберт сумел связаться с представителем Ватикана, после чего уязвимость была исправлена. Как оказалось, суть проблемы была в обработке данных аутентификации пользователя.

Пароль задавать не было необходимости. Когда пользователь регистрировался в приложении «Click to Pray», указывая свой адрес электронной почты, в аккаунт приходило сообщение с пин-кодом. В дальнейшем логиниться нужно было именно таким образом — на почтовый адрес отправлялся пин, используя который пользователь мог начать работу с приложением.

Получается, что при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться. Перед там, как проблема была исправлена, приложение отправляло PIN из четырех символов в незашифрованном виде.


Стильно, модно, молодежно

Эксперт получал управление над аккаунтом, а его создателей выбрасывало из учетной записи, при этом показывалось сообщение, что ее владелец залогинился с другого устройства. Роберт продемонстрировал уязвимость журналистам Cnet, которые создали аккаунт специально для теста проблемы. Так, учетную запись можно было просто удалить. «Взломщик» мог делать с аккаунтом пользователя все, что угодно, уровень доступа ничем не отличался от уровня доступа самого владельца.

Но есть другая интересная особенность — приложение для Android запрашивает данные геолокации и права совершать звонки. Теперь этой проблемы нет, поскольку, как и говорилось выше, Ватикан исправил уязвимость.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть