Дорога к спасению в наше время вымощена проблемами кибербезопасности. Не так давно мы рассказывали вам об умных четках за $110, при помощи которых Ватикан планирует приучить к молитвам молодое поколение. Они были представлены в среду, но уже в четверг один из исследователей безопасности обнаружил серьезную уязвимость в приложении eRosary «Click to Pray», которое синхронизирует духовный девайс с серверами Всемирной молитвенной сети Папы Римского, отвечающих за сохранение результатов пользователей и предоставление ежедневных молитв.
Наверное, самым главным недостатком IoT-устройств является то, что они часто бывают недостаточно защищены от взлома, слежки и прочего. Французский исследователь безопасности Батист Роберт обнаружил уязвимость в приложении Ватикана в течение всего 15 минут! «Эта уязвимость очень серьезна, поскольку позволяет злоумышленнику захватить учетную запись жертвы и получить его личную информацию, зная только его адрес электронной почты. Больше ничего не потребуется», - говорится в сообщении Роберта.
Ватикан пока отказывается комментировать ситуацию, однако Роберт говорит, что сразу же связался с Ватиканом (в среду), объяснил проблему и теперь данная уязвимость уже устранена.
Данная уязвимость работает из-за того, как приложение обрабатывает учетные данные для входа. Когда вы регистрируетесь в приложении «Click to Pray», вы регистрируетесь по электронной почте, а вместо установки пароля приложение отправляет PIN-код в ваш почтовый ящик. Вы входите в систему, как это каждый раз. До исправления приложение отправляло запросы на свой сервер для отправки вам четырехзначного PIN-кода. Проблема заключалась в том, что сам PIN-код был также отправлен по сети. Любой, кто анализирует сетевой трафик, мог увидеть ответ с отправленным PIN-кодом.
Роберт продемонстрировал эту уязвимость с помощью учетной записи, которая была создана специально для эксперимента. Каждый раз, когда он получал доступ к этой учетной записи, жертва взлома автоматически выходила из системы. Он также отправил электронное письмо с новым PIN-кодом, который жертва не запрашивала. Получив доступ, Роберт получил доступ ко всем данным учетной записи: пол, рост, вес, день рождения, количество пройденных шагов, время на молитвы, и даже фотографию. Он также полностью удалил данную учетную запись и тут же смог получить доступ ко второй учетной записи, которая была создана сразу после удаления предыдущей.
Источник: cnet.com
Дата публикации: 19.10.2019
ePN © 2023 Все права защищены.