Los investigadores encontraron vulnerabilidades en eRosary rosarios inteligentes de los desarrolladores del Vaticano

Los investigadores encontraron vulnerabilidades en el rosario inteligente eRosary, el cual los desarrolladores del Vaticano habían introducido previamente.

Tél creadores del producto no protegían a las cuentas de usuario de la interferencia de terceros y los atacantes se fueron con acceso a información privada.

“Me llevó solo 10 minutos para encontrar los demonios de datos-divulgación corrompen clic del Papa a Oren eRosary aplicación. codificadores Vaticano exorcicen gremlins API, pero, debemos confesar, que se perdieron uno pequeño monstruo. Exclusivo La tecnología detrás de las últimas innovaciones de la Iglesia Católica, un rosario electrónico, es tan inseguro, puede ser trivialmente hackeado para desviar los fieles’ informacion personal", - decir, irónicamente, Register periodistas.

El rosario inteligente eRosary octubre salió a la venta 15 a un precio de poco más de $100. El dispositivo, que consta de diez perlas y un crucifijo, pistas cuando el usuario bautiza. En este momento, se pone en marcha el Click To Pray aplicación en el teléfono o la tableta para decirle al creyente la secuencia de movimientos o palabras en Rosario.

Literalmente, el día después del lanzamiento del producto, expertos encontraron graves problemas de seguridad en el programa. cyberwizard infosec en sede en Reino Unido Fidus Seguridad de la Información defectos de forma rápida descubiertas en los sistemas back-end utilizados por la aplicación Click to Pray, que está disponible para iOS y Android. Las vulnerabilidades de seguridad son más embarazoso que amenaza la vida.

leer también: Debido a la vulnerabilidad en la API de Twitter, miles de aplicaciones de iOS están bajo ataque

Como se vio despues, los desarrolladores no limitan el número de intentos de acceso fallidos Haga clic para Orar. Esto permitió que el cracker para recoger un código PIN de cuatro dígitos, que se utiliza para la autorización en la solicitud.

Esta combinación de números también se podría obtener a través de una solicitud del API para el servidor back-end en la dirección de correo electrónico de la víctima.

Como resultado, el cracker tuvo acceso a la Click To Pray perfil, donde la edad del usuario, la altura y el peso se almacenan, y puede ver su foto. Un atacante podría eliminar una cuenta y poner en peligro las cuentas nuevas, si están registrados en un famoso a la dirección de correo electrónico del dispositivo.

“El Registro creó una cuenta ficticia en la aplicación, utilizando el nombre de Satanás, y, bastante seguro, fue secuestrado en cuestión de minutos por el equipo Fidus. Mientras que las cuentas no almacenan nada demasiado sensible, tal como información financiera, que contienen datos de identificación personal - tales como la gente’ nombres y descripciones físicas. En países como China, donde los católicos no son demasiado populares, este tipo de datos podría ser perjudicial si se expone”, - periodistas informe del Registro.

Los investigadores hicieron hincapié en que, si bien no había datos financieros u otra información importante en el Click para orar perfil, creyentes en los países donde fueron acosados ​​católicos podrían haber sido hackeado. Adicionalmente, la aplicación permitió correlacionar el nombre de la persona con su foto y fecha de nacimiento, para que después de que pudiera usarlo en ataques basados ​​en la ingeniería social.

Padre Frederic Fornos, el Director Internacional de la Red mundial de oraciones del Papa, dijo que tan pronto como fue alertado a las debilidades de seguridad por Fidus el jueves, puso codificadores del Vaticano en el trabajo para solucionarlo, y se comprometió a, milagros tras milagros, han parcheado los agujeros más dentro de 24 horas.

En el momento de la publicación, los desarrolladores han resuelto los errores detectados.