Forscher fanden heraus, Schwachstellen in eRosary Smart Rosenkranz von Vatikan-Entwickler

Forscher fanden heraus, Schwachstellen im eRosary Smart Rosenkranz, die hatten die Vatikan-Entwickler zuvor eingeführt.

Ter Schöpfer des Produkts keinen Schutz von Benutzerkonten von Eingriffen Dritter und linken Angreifer mit Zugang zu privaten Informationen.

„Es dauerte nur 10 Minuten Datenpreisgabe Dämonen korrumpieren Papstes Klicken Sie finden eRosary App Bete. Vatikan Coder auszutreiben API Gremlins aber, wir müssen bekennen, sie verpasst ein kleines Monster. Exklusiv Die Technologie hinter der neuesten Innovation der katholischen Kirche, ein elektronischer Rosenkranz, ist so unsicher, es kann trivialer Verehrer gehackt werden abzuschöpfen’ persönliche Informationen", - ironisch sagen registrieren Journalisten.

Die eRosary Smart Rosenkranz ging auf den Verkauf Oktober 15 zu einem Preis von knapp über $100. Das Gerät, die aus zehn Perlen und ein Kreuz, verfolgt, wenn der Benutzer tauft. In diesem Moment, es startet die Klicken Sie zum Beten Anwendung auf dem Telefon oder Tablet dem Gläubige die Abfolge der Bewegungen oder Worte in dem Rosenkranz zu sagen,.

Wörtlich wurde am Tag nach dem Produkt freigegeben, Experten fanden gravierende Sicherheitsprobleme im Programm. Infosec bods in Großbritannien ansässigen Fidus Informationssicherheit schnell unbedeckten Mängel in den Backend-Systemen durch die Click verwendet App Bete, die für iOS verfügbar ist und Android. Die Sicherheitslücken sind mehr peinlich als lebensbedrohlich.

lesen Sie auch: Aufgrund Verwundbarkeit in Twitter API, Tausende von iOS-Apps sind unter Beschuss

Wie sich herausstellte, die Entwickler haben die Anzahl fehlgeschlagener Anmeldeversuche, um es nicht zu beschränken, um Bete. Dies ermöglichte die Cracker einen vierstelligen PIN-Code zu holen, die für die Zulassung ist in der Anwendung verwendet.

Diese Kombination von Zahlen könnte auch an dem Opfer der E-Mail-Adresse über eine API-Anforderung an den Back-End-Server erhalten werden.

Als Ergebnis, der Cracker gewonnen Zugriff auf das Click-Profil beten, wo das Alter des Benutzers, Größe und Gewicht werden gespeichert, und kann sein Foto sehen. Ein Angreifer könnte ein Konto und kompromittieren neue Konten löschen, wenn sie in einem berühmten an das Gerät E-Mail-Adresse registriert.

„Das Register ein Dummy-Konto auf dem app, mit dem Namen Satan, und, sicher genug, es wurde von dem Fidus Team innerhalb weniger Minuten entführt. Während Konten speichern nicht etwas zu empfindlich, wie Finanzinformationen, sie persönlich enthalten Daten zu identifizieren - wie Leute’ Namen und physikalische Beschreibungen. In Ländern wie China, wo Katholiken sind nicht sehr beliebt, diese Art von Daten könnte schädlich sein, wenn ausgesetzt“, - Bericht Journalisten des Registers.

Die Forscher betonten, dass es zwar keine Finanzdaten oder andere wichtige Informationen in dem Click war Profil zu beten, Gläubige in Ländern, in denen Katholiken drangsaliert wurden gehackt worden sein könnte. In Ergänzung, die Anwendung Namen dieser Person von Geburt erlaubt Korrelieren mit seinem Foto und Datum, so dass später konnte er es in Angriffe nutzen basierend auf Social Engineering.

Vater Frederic Fornos, der Internationale Direktor des Papstes Worldwide Gebet Netzwerk, sagte, dass, sobald er auf die Sicherheitslücken von Fidus am Donnerstag aufmerksam gemacht wurde, er legte Vatikan Programmierer bei der Arbeit, es zu beheben, und versprach,, Wunder auf Wunder, haben die Löcher geflickt über innerhalb 24 Std.

Zum Zeitpunkt der Veröffentlichung, die Entwickler fixiert die erkannten Fehler.