Hace unos días, el Vaticano
habló sobre cuentas electrónicas, que se llamaron "Click to Pray eRosary". Este es un dispositivo de alta tecnología que funciona según un principio similar a los rastreadores de ejercicios. Entonces, las cuentas rastrean el número de pasos dados y la distancia total que el usuario ha cubierto. Pero también controla la actitud del creyente hacia la práctica de los ritos religiosos.
El dispositivo se activa cuando el creyente comienza a ser bautizado. En este caso, el dispositivo está conectado a la aplicación con instrucciones de audio destinadas a las oraciones, también hay fotografías, videos, etc. Para que el creyente no se confunda, el rosario indica qué oración se dijo y cuántas veces. Todo estaría bien, pero casi inmediatamente después del lanzamiento del
rosario, un especialista en seguridad de la información pirateó , ya que resultó que esto no es difícil.
Por cierto, este dispositivo no es gratis en absoluto, el Vaticano lo vende por $ 110, después de la activación, el dispositivo se conecta a la Red Mundial de Oración del Papa.
Pero, como resultó, los datos de los fieles que usan cuentas electrónicas pueden ser presa fácil para los atacantes. El problema con la protección de la información del usuario fue descubierto por el especialista francés en seguridad de la información Baptist Robert (Baptiste Robert). Rompió el rosario (una extraña combinación de palabras, por supuesto, "rompa el rosario") del Vaticano en solo 15 minutos. La vulnerabilidad le da al atacante el control sobre la cuenta del propietario del dispositivo.
Para acceder a su cuenta, solo necesita conocer la dirección de correo electrónico del usuario. "Esta vulnerabilidad es muy importante porque permite a un atacante obtener control sobre la cuenta y sus datos personales", dijo Robert.
El Vaticano no hizo ningún comentario sobre este tema en los medios. Sin embargo, Robert logró contactar al representante del Vaticano, luego de lo cual se solucionó la vulnerabilidad. Al final resultó que, la esencia del problema estaba en el procesamiento de los datos de autenticación del usuario.
Cuando un usuario se registró en la aplicación Click to Pray con su dirección de correo electrónico, se envió un mensaje con un código PIN a su cuenta. No hubo necesidad de establecer una contraseña. En el futuro, era necesario iniciar sesión de esta manera: se envió un pin a la dirección de correo, mediante el cual el usuario podía comenzar a trabajar con la aplicación.
Antes de eso, cuando se solucionó el problema, la aplicación envió un PIN de cuatro caracteres sin cifrar. Resulta que al analizar el tráfico de red era posible interceptar un pin e iniciar sesión sin problemas.
Elegante, a la moda, juvenilRobert mostró vulnerabilidad a los reporteros de Cnet que crearon una cuenta específicamente para probar el problema. El experto obtuvo el control sobre la cuenta, y sus creadores fueron expulsados de la cuenta, y se mostró un mensaje de que su propietario había iniciado sesión desde otro dispositivo. El "cracker" podría hacer cualquier cosa con la cuenta del usuario; el nivel de acceso no difería del nivel de acceso del propietario. Entonces, la cuenta podría simplemente ser eliminada.
Ahora este problema no existe, porque, como se mencionó anteriormente, el Vaticano reparó la vulnerabilidad. Pero hay otra característica interesante: la aplicación de Android solicita datos de geolocalización y el derecho a realizar llamadas.