Hjem » Sådan fjernes » ondsindet proces » Forskere fundet sårbarheder i eRosary smarte rosenkranse fra Vatikanets udviklere

Forskere fundet sårbarheder i eRosary smarte rosenkranse fra Vatikanets udviklere

Forskerne fandt sårbarheder i eRosary smarte rosenkrans, som Vatikanets udviklerne tidligere havde indført.

Than skaberne af produktet ikke beskyttede brugerkonti fra tredjeparts indblanding og venstre angribere med adgang til private oplysninger.

”Det tog bare 10 minutter at finde data-røbe dæmoner korrumperer Pavens Klik for Pray eRosary app. Vatikanets kodere uddrive API nisser men, vi må bekende, de savnede en lille monster. Eksklusiv Teknologien bag den katolske kirkes nyeste innovation, en elektronisk rosenkrans, er så usikker, Det kan trivielt hacket til sifon off tilbedere’ personlig information", - ironisk nok sige Registrer journalister.

eRosary smarte rosenkrans
eRosary smarte rosenkrans
Den eRosary smarte rosenkrans gik på salg oktober 15 til en pris på lige over $100. Enheden, som består af ti perler og et krucifiks, sporer, når brugeren døber. I dette øjeblik, det lancerer Klik for at bede ansøgning på telefonen eller tablet til at fortælle den troende rækkefølgen af ​​bevægelser eller ord Rosenkransen.

Bogstaveligt talt dagen efter at produktet blev frigivet, eksperter fundet alvorlige sikkerhedsproblemer i programmet. INFOSEC bods på UK-baserede Fidus informationssikkerhed hurtigt udækkede fejl i backend systemer, der anvendes af Klik for Pray app, som er tilgængelig til iOS og Android. De sikkerhedshuller er mere pinligt end livstruende.

Læs også: På grund af sårbarhed i Twitter API, tusindvis af iOS apps er under angreb

Som det viste sig, udviklerne ikke begrænse antallet af mislykkede login-forsøg på Klik for at Pray. Dette gav krakker at hente en fire-cifret PIN-kode, som bruges til godkendelse i programmet.

LÆS  Svaghed i libarchive truer Mange Linux-distributioner

Denne kombination af tal kunne også opnås via en API anmodning til backend server på ofrets e-mailadresse.

Som resultat, krakker fået adgang til Klik for at bede profil, hvor brugerens alder, højde og vægt er lagret, og kan se hans foto. En hacker kan slette en konto og gå på kompromis nye konti, hvis de er registreret på en berømt til enheden emailadresse.

”Registret oprettet en dummy konto på app, bruge navnet Satan, og, Helt sikkert, det blev kapret inden for få minutter af Fidus teamet. Mens konti ikke gemme noget for følsom, såsom finansielle oplysninger, de indeholder personidentificerende data - såsom folk’ navne og fysiske beskrivelser. I lande som Kina, hvor katolikker er ikke alt for populær, denne form for data kan være skadelig, hvis de udsættes”, - rapport journalister fra The Register.

Far Frederic Fornos
Far Frederic Fornos
Forskerne understregede, at mens der ikke var nogen finansielle data eller andre vigtige oplysninger i Click for at bede profil, troende i lande, hvor katolikker blev chikaneret kunne have været hacket. Desuden, ansøgningen tilladt korrelere persons navn med hans foto og fødselsdato, så senere kunne han bruge det i angreb baseret på social engineering.

Far Frederic Fornos, International direktør for pavens Worldwide Prayer Network, at vide, at så snart han blev gjort opmærksom på de sikkerhedsmæssige svagheder ved Fidus torsdag, han satte Vatikanets kodere på jobbet til at ordne det, og lovede at, mirakler upon mirakler, har hullerne lappet overstået inden for 24 timer.

LÆS  Afinstaller Aticonto.exe program fra Windows PC

På tidspunktet for offentliggørelse, udviklerne fast de fundne fejl.

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

ZoneAlarm hacket med vBulletin sårbarhed

ZoneAlarm fora hacket på grund af vBulletin sårbarhed

De fora på ZoneAlarm, which is owned by Check Point and whose products are used

RAT Trojan i WebEx invitationer

Kriminelle giver links til RAT trojan i WebEx invitationer

Information security specialist Alex Lanstein discovered an original vector for the distribution of the RAT

Skriv et svar