Os pesquisadores descobriram vulnerabilidades em eRosary rosários inteligentes de desenvolvedores do Vaticano

Os pesquisadores descobriram vulnerabilidades no rosário inteligente eRosary, que os desenvolvedores do Vaticano já havia introduzido.

Tele criadores do produto não protegeu as contas de usuário de interferências de terceiros e atacantes deixaram com acesso a informações privadas.

“Demorou apenas 10 minutos para encontrar demônios-divulgação de dados corrompendo Clique Papa Orar eRosary aplicativo. codificadores Vaticano exorcizar gremlins API mas, devemos confessar, eles perderam um pequeno monstro. Exclusivo A tecnologia por trás última inovação da Igreja Católica, um rosário electrónico, é tão inseguro, ele pode ser trivialmente cortado para desviar adoradores’ informação pessoal", - ironicamente dizer Cadastre jornalistas.

O rosário inteligente eRosary foi colocado à venda outubro 15 a um preço de pouco mais $100. O dispositivo, que consiste em dez contas e um crucifixo, rastreia quando o usuário batiza. Neste momento, lança o Clique Para Ore aplicação no telefone ou tablet para dizer o crente a sequência de movimentos ou palavras em Rosário.

Literalmente o dia depois que o produto foi lançado, peritos encontraram sérios problemas de segurança no programa. bods Infosec na sede no Reino Unido Segurança da Informação Fidus falhas rapidamente descobertos nos sistemas de back-end utilizados pelo Clique para Ore aplicativo, que está disponível para iOS e Android. As vulnerabilidades de segurança são mais constrangedor do que risco de vida.

Leia também: Devido à vulnerabilidade no Twitter API, milhares de aplicações iOS está sob o ataque

Enquanto girou para fora, os desenvolvedores não limitar o número de tentativas de login no Click To Ore. Isso permitiu que o cracker para pegar um código PIN de quatro dígitos, o qual é usado para a autorização na aplicação.

Esta combinação de números também pode ser obtido através de uma solicitação da API para o servidor back-end no endereço de e-mail da vítima.

como um resultado, o cracker obteve acesso ao Click To Ore perfil, onde a idade do usuário, a altura e o peso são armazenados, e pode ver sua foto. Um invasor pode excluir uma conta e comprometer novas contas, se eles são registrados em um famoso para o endereço de e-mail do dispositivo.

“The Register configurar uma conta fictícia no aplicativo, usando o nome de Satanás, e, com certeza, foi sequestrado em poucos minutos pela equipe Fidus. Enquanto as contas não guarde nada muito sensível, tais como informações financeiras, eles contêm conhecimento dos dados pessoais - tais como pessoas’ nomes e descrições físicas. Em países como a China, onde os católicos não são muito populares, este tipo de dados pode ser prejudicial se expor”, - jornalistas Relatório do Register.

Os pesquisadores enfatizaram que enquanto não havia dados financeiros ou outras informações importantes no Click To Ore perfil, crentes em países onde os católicos foram perseguidos poderia ter sido hackeado. além do que, além do mais, a aplicação permitiu correlacionar o nome da pessoa com sua foto e data de nascimento, para que mais tarde ele pudesse usá-lo em ataques baseados em engenharia social.

Pai Frederic Fornos, o Director Internacional da Rede de Oração Worldwide do Papa, disse que, assim que ele foi alertado para as falhas de segurança por Fidus na quinta-feira, ele colocou codificadores do Vaticano no trabalho para corrigi-lo, e se comprometeu a, milagres em milagres, têm os buracos remendado ao longo dentro 24 horas.

No momento da publicação, os desenvolvedores fixa os erros detectados.