Vor einigen Tagen
sprach der Vatikan über elektronische Perlen, die "Click to Pray eRosary" genannt wurden. Dies ist ein High-Tech-Gerät, das nach einem Prinzip arbeitet, das Fitness-Trackern ähnelt. Die Perlen verfolgen also die Anzahl der durchgeführten Schritte und die Gesamtstrecke, die der Benutzer zurückgelegt hat. Es kontrolliert aber auch die Einstellung des Gläubigen zur Ausübung religiöser Riten.
Das Gerät wird aktiviert, wenn der Gläubige mit der Taufe beginnt. In diesem Fall ist das Gerät mit Audioanweisungen, die für Gebete bestimmt sind, mit der Anwendung verbunden. Es gibt auch Fotos, Videos usw. Damit der Gläubige nicht verwirrt wird, zeigt der Rosenkranz an, welches Gebet wie oft gesprochen wurde. Alles wäre in Ordnung, aber fast unmittelbar nach der Veröffentlichung des
Rosenkranzes hat ein Informationssicherheitsspezialist gehackt , wie sich herausstellte, ist dies nicht schwierig.
Übrigens ist dieses Gerät überhaupt nicht kostenlos, der Vatikan verkauft es für 110 US-Dollar. Nach der Aktivierung stellt das Gerät eine Verbindung zum weltweiten Gebetsnetzwerk des Papstes her.
Aber wie sich herausstellte, können die Daten von Anbetern, die elektronische Perlen verwenden, für Angreifer eine leichte Beute sein. Das Problem mit dem Schutz von Benutzerinformationen wurde vom französischen Informationssicherheitsspezialisten Baptist Robert (Baptiste Robert) entdeckt. Er knackte den Rosenkranz (natürlich eine seltsame Wortkombination - „Rosenkranz knacken“) aus dem Vatikan in nur 15 Minuten. Die Sicherheitsanfälligkeit gibt einem Angreifer die Kontrolle über das Konto des Besitzers des Geräts.
Um auf Ihr Konto zugreifen zu können, müssen Sie nur die E-Mail-Adresse des Benutzers kennen. "Diese Sicherheitsanfälligkeit ist sehr bedeutsam, da ein Angreifer die Kontrolle über das Konto und seine persönlichen Daten erlangen kann", sagte Robert.
Der Vatikan hat in den Medien keine Kommentare zu diesem Thema abgegeben. Robert gelang es jedoch, den Vertreter des Vatikans zu kontaktieren, wonach die Sicherheitslücke behoben wurde. Wie sich herausstellte, lag der Kern des Problems in der Verarbeitung von Benutzerauthentifizierungsdaten.
Wenn sich ein Benutzer mit seiner E-Mail-Adresse in der Anwendung "Click to Pray" registriert hat, wurde eine Nachricht mit einem PIN-Code an sein Konto gesendet. Es war nicht erforderlich, ein Passwort festzulegen. Zukünftig musste man sich auf diese Weise anmelden - eine PIN wurde an die Postanschrift gesendet, über die der Benutzer mit der Anwendung der Anwendung beginnen konnte.
Zuvor hatte die Anwendung, da das Problem behoben war, eine PIN mit vier Zeichen in unverschlüsselter Form gesendet. Es stellte sich heraus, dass es bei der Analyse des Netzwerkverkehrs möglich war, einen Pin abzufangen und sich problemlos anzumelden.
Stilvoll, modisch, jugendlichRobert zeigte Verwundbarkeit gegenüber Cnet-Reportern, die ein Konto speziell zum Testen des Problems erstellt hatten. Der Experte erlangte die Kontrolle über das Konto, und seine Ersteller wurden aus dem Konto geworfen, und es wurde eine Meldung angezeigt, dass sich sein Besitzer von einem anderen Gerät aus angemeldet hatte. Der "Cracker" konnte alles mit dem Benutzerkonto tun, die Zugriffsebene unterschied sich nicht von der Zugriffsebene des Besitzers. Das Konto könnte also einfach gelöscht werden.
Dieses Problem besteht nun nicht mehr, da der Vatikan, wie oben erwähnt, die Sicherheitsanfälligkeit behoben hat. Aber es gibt noch eine andere interessante Funktion - die Android-Anwendung fragt nach Geolokalisierungsdaten und dem Recht, Anrufe zu tätigen.