Onderzoekers vinden kwetsbaarheden in eRosary smart rozenkransen van Vaticaanstad ontwikkelaars

Onderzoekers vinden kwetsbaarheden in de eRosary smart rozenkrans, die het Vaticaan ontwikkelaars eerder had ingevoerd.

Thij makers van het product niet te beschermen gebruikersaccounts van derden interferentie en vertrokken aanvallers toegang tot prive-informatie.

“Het duurde gewoon 10 minuten-gegevens openbaar maken van demonen corrumperen Paus Grotere eRosary app bidden vinden. Vaticaan coders bezweren API gremlins maar, we moeten bekennen, ze miste een klein monster. Exclusive De technologie achter nieuwste innovatie van de Katholieke Kerk, een elektronische rozentuin, zo onzeker, het kan triviaal worden gehackt aanbidders hevelen’ persoonsgegevens", - ironisch genoeg zeggen Registreer journalisten.

De eRosary slimme rozenkrans gingen op de verkoop oktober 15 tegen een prijs van iets meer dan $100. Het apparaat, die bestaat uit tien bolletjes en een kruis, volgt wanneer de gebruiker doopt. Op dit moment, lanceert de Klik op te bidden applicatie op de telefoon of tablet de gelovige zeggen de bewegingsafloop of woorden Rozenkrans.

Letterlijk de dag nadat het product werd vrijgegeven, experts gevonden ernstige veiligheidsproblemen in het programma. Infosec bods in Groot-Brittannië gevestigde Fidus Information Security snel ongedekte gebreken in de backend systemen die worden gebruikt door de Click to app Pray, die is beschikbaar voor iOS en Android. De beveiligingsproblemen zijn meer gênant dan levensbedreigend.

Lees ook: Vanwege de kwetsbaarheid in Twitter API, duizenden iOS-apps worden aangevallen

Het bleek dat, de ontwikkelaars niet het aantal mislukte inlogpogingen niet beperken in Click To Pray. Hierdoor kon de cracker te halen een viercijferige PIN-code, die wordt gebruikt voor autorisatie in de aanvraag.

Deze combinatie van nummers kunnen ook worden verkregen via een API verzoek aan de backend-server op het e-mailadres van het slachtoffer.

Als gevolg, de kraker toegang gekregen tot de Click te bidden profiel, waarbij de leeftijd van de gebruiker, lengte en gewicht zijn opgeslagen, en kan zijn foto zien. Een aanvaller kan een account te verwijderen en nieuwe accounts in gevaar brengen, als ze zijn ingeschreven bij een beroemd om het apparaat e-mailadres.

“Set Het register opzetten van een dummy-account op de app, het gebruik van de naam van Satan, En, zowaar, het was binnen enkele minuten gekaapt door de Fidus team. Terwijl de rekeningen niet iets te gevoelig op te slaan, zoals financiële informatie, ze bevatten persoonlijk identificerende gegevens - zoals mensen’ namen en fysieke beschrijvingen. In landen als China, waar de katholieken zijn niet al te populair, dit soort gegevens kunnen schadelijk zijn als ze worden blootgesteld”, - verslag journalisten van The Register.

De onderzoekers benadrukken dat terwijl er geen financiële gegevens of andere belangrijke informatie in de Click te bidden profiel, gelovigen in landen waar de katholieken werden lastiggevallen zou zijn gehackt. In aanvulling op, de toepassing toegestaan ​​correleren persoonsnaam met zijn foto en geboortedatum, zodat later kon hij gebruiken in aanvallen op basis van social engineering.

Vader Frederic Fornos, de internationaal directeur van Pope's Worldwide Gebedsnetwerk, verteld dat zodra hij werd gewezen op de tekortkomingen veiligheid door Fidus op donderdag, hij zette Vaticaan coders op de baan om het te repareren, en beloofde, wonderen op wonderen, hebben de gaten gepatcht dan binnen 24 uur.

Op het moment van publicatie, de ontwikkelaars vaste het gedetecteerde bugs.