Forskere fundet sårbarheder i eRosary smarte rosenkranse fra Vatikanets udviklere

Forskerne fandt sårbarheder i eRosary smarte rosenkrans, som Vatikanets udviklerne tidligere havde indført.

Than skaberne af produktet ikke beskyttede brugerkonti fra tredjeparts indblanding og venstre angribere med adgang til private oplysninger.

”Det tog bare 10 minutter at finde data-røbe dæmoner korrumperer Pavens Klik for Pray eRosary app. Vatikanets kodere uddrive API nisser men, vi må bekende, de savnede en lille monster. Eksklusiv Teknologien bag den katolske kirkes nyeste innovation, en elektronisk rosenkrans, er så usikker, Det kan trivielt hacket til sifon off tilbedere’ personlig information", - ironisk nok sige Registrer journalister.

Den eRosary smarte rosenkrans gik på salg oktober 15 til en pris på lige over $100. Enheden, som består af ti perler og et krucifiks, sporer, når brugeren døber. I dette øjeblik, det lancerer Klik for at bede ansøgning på telefonen eller tablet til at fortælle den troende rækkefølgen af ​​bevægelser eller ord Rosenkransen.

Bogstaveligt talt dagen efter at produktet blev frigivet, eksperter fundet alvorlige sikkerhedsproblemer i programmet. INFOSEC bods på UK-baserede Fidus informationssikkerhed hurtigt udækkede fejl i backend systemer, der anvendes af Klik for Pray app, som er tilgængelig til iOS og Android. De sikkerhedshuller er mere pinligt end livstruende.

Læs også: På grund af sårbarhed i Twitter API, tusindvis af iOS apps er under angreb

Som det viste sig, udviklerne ikke begrænse antallet af mislykkede login-forsøg på Klik for at Pray. Dette gav krakker at hente en fire-cifret PIN-kode, som bruges til godkendelse i programmet.

Denne kombination af tal kunne også opnås via en API anmodning til backend server på ofrets e-mailadresse.

Som resultat, krakker fået adgang til Klik for at bede profil, hvor brugerens alder, højde og vægt er lagret, og kan se hans foto. En hacker kan slette en konto og gå på kompromis nye konti, hvis de er registreret på en berømt til enheden emailadresse.

”Registret oprettet en dummy konto på app, bruge navnet Satan, og, Helt sikkert, det blev kapret inden for få minutter af Fidus teamet. Mens konti ikke gemme noget for følsom, såsom finansielle oplysninger, de indeholder personidentificerende data - såsom folk’ navne og fysiske beskrivelser. I lande som Kina, hvor katolikker er ikke alt for populær, denne form for data kan være skadelig, hvis de udsættes”, - rapport journalister fra The Register.

Forskerne understregede, at mens der ikke var nogen finansielle data eller andre vigtige oplysninger i Click for at bede profil, troende i lande, hvor katolikker blev chikaneret kunne have været hacket. Desuden, ansøgningen tilladt korrelere persons navn med hans foto og fødselsdato, så senere kunne han bruge det i angreb baseret på social engineering.

Far Frederic Fornos, International direktør for pavens Worldwide Prayer Network, at vide, at så snart han blev gjort opmærksom på de sikkerhedsmæssige svagheder ved Fidus torsdag, han satte Vatikanets kodere på jobbet til at ordne det, og lovede at, mirakler upon mirakler, har hullerne lappet overstået inden for 24 timer.

På tidspunktet for offentliggørelse, udviklerne fast de fundne fejl.