قبل أيام قليلة ،
تحدث الفاتيكان عن الخرزات الإلكترونية ، والتي كانت تسمى "Click to Pray eRosary". هذا هو جهاز عالي التقنية يعمل على مبدأ مشابه لمتتبعي اللياقة البدنية. لذلك ، تتعقب الخرزات عدد الخطوات المتخذة والمسافة الإجمالية التي قام المستخدم بتغطيتها. لكنه يتحكم أيضًا في موقف المؤمن من ممارسة الشعائر الدينية.
يتم تنشيط الجهاز عندما يبدأ المؤمن في التعميد. في هذه الحالة ، يتم توصيل الجهاز بالتطبيق مع تعليمات صوتية مخصصة للصلاة ، وهناك أيضًا صور فوتوغرافية ومقاطع فيديو وما إلى ذلك. حتى لا يختلط المؤمن ، تشير الوردية إلى ما قيل من الصلاة وعدد المرات. كل شيء سيكون على ما يرام ، ولكن بعد إطلاق
المسبحة مباشرة ، اخترق أحد متخصصي أمن المعلومات ، كما اتضح ، هذا ليس بالأمر الصعب.
بالمناسبة ، هذا الجهاز غير مجاني على الإطلاق ، الفاتيكان يبيعه مقابل 110 دولارات ، بعد التنشيط ، يتصل الجهاز بشبكة الصلاة العالمية لبابا.
ولكن ، كما اتضح فيما بعد ، يمكن أن تكون بيانات المصلين الذين يستخدمون الخرز الإلكتروني فريسة سهلة للمهاجمين. تم اكتشاف المشكلة المتعلقة بحماية معلومات المستخدم من قبل أخصائي أمن المعلومات الفرنسي بابتيست روبرت (بابتيست روبرت). انه كسر المسبحة (مزيج غريب من الكلمات ، بالطبع - "كسر المسبحة") من الفاتيكان في 15 دقيقة فقط. تسمح الثغرة الأمنية للمهاجم بالتحكم في حساب مالك الجهاز.
للوصول إلى حسابك ، ما عليك سوى معرفة عنوان البريد الإلكتروني للمستخدم. وقال روبرت "هذه الثغرة الأمنية مهمة للغاية لأنها تسمح للمهاجمين بالتحكم في الحساب وبياناته الشخصية".
لم يقدم الفاتيكان أي تعليقات على هذه القضية في وسائل الإعلام. ومع ذلك ، تمكن روبرت من الاتصال بممثل الفاتيكان ، وبعد ذلك تم إصلاح الثغرة الأمنية. كما اتضح فيما بعد ، كان جوهر المشكلة في معالجة بيانات مصادقة المستخدم.
عندما يسجل مستخدم في تطبيق Click to Pray باستخدام عنوان بريده الإلكتروني ، تم إرسال رسالة برمز PIN إلى حسابه. ليست هناك حاجة لتعيين كلمة مرور. في المستقبل ، كان من الضروري تسجيل الدخول بهذه الطريقة - تم إرسال رقم التعريف الشخصي إلى العنوان البريدي ، باستخدام المستخدم الذي يمكن أن يبدأ العمل مع التطبيق.
قبل ذلك ، نظرًا لإصلاح المشكلة ، أرسل التطبيق رقم تعريف شخصي من أربعة أحرف في شكل غير مشفر. اتضح أنه عند تحليل حركة مرور الشبكة كان من الممكن اعتراض دبوس وتسجيل الدخول دون مشاكل.
أنيقة وعصرية والشبابأظهر روبرت الضعف لمراسلي Cnet الذين أنشأوا حسابًا خصيصًا لاختبار المشكلة. سيطر الخبير على الحساب ، وتم طرد منشئوه من الحساب ، وتم عرض رسالة تفيد بأن مالكه قد سجل الدخول من جهاز آخر. يمكن لـ "cracker" فعل أي شيء بحساب المستخدم ، ولم يختلف مستوى الوصول عن مستوى وصول المالك. لذلك ، يمكن ببساطة حذف الحساب.
الآن هذه المشكلة غير موجودة ، لأنه كما ذكر أعلاه ، قام الفاتيكان بإصلاح الثغرة الأمنية. ولكن هناك ميزة أخرى مثيرة للاهتمام - تطبيق Android يسأل عن بيانات الموقع الجغرافي والحق في إجراء المكالمات.