Il y a quelques jours, le Vatican a
parlé de perles électroniques, appelées «Click to Pray eRosary». Il s'agit d'un appareil de haute technologie qui fonctionne sur un principe similaire aux trackers de fitness. Ainsi, les billes suivent le nombre de pas effectués et la distance totale parcourue par l'utilisateur. Mais il contrôle également l'attitude du croyant face à la pratique des rites religieux.
L'appareil est activé lorsque le croyant commence à être baptisé. Dans ce cas, l'appareil est connecté à l'application avec des instructions audio destinées aux prières, il y a aussi des photos, des vidéos, etc. Afin que le croyant ne se sente pas confus, le chapelet indique ce que la prière a été dite et combien de fois. Tout irait bien, mais presque immédiatement après la publication du
chapelet, un spécialiste de la sécurité de l'information a piraté , il s'est avéré que ce n'était pas difficile.
Soit dit en passant, cet appareil n'est pas du tout gratuit, le Vatican le vend pour 110 $, après l'activation, l'appareil se connecte au réseau mondial de prière du pape.
Mais, il s'est avéré que les données des fidèles qui utilisent des perles électroniques peuvent être une proie facile pour les attaquants. Le problème de la protection des informations des utilisateurs a été découvert par le spécialiste français de la sécurité de l'information Baptist Robert (Baptiste Robert). Il a cassé le chapelet (une étrange combinaison de mots, bien sûr - "casser le chapelet") du Vatican en seulement 15 minutes. La vulnérabilité donne à un attaquant le contrôle du compte du propriétaire de l'appareil.
Pour accéder à votre compte, il vous suffit de connaître l'adresse e-mail de l'utilisateur. "Cette vulnérabilité est très importante car elle permet à un attaquant de prendre le contrôle du compte et de ses données personnelles", a expliqué Robert.
Le Vatican n'a fait aucun commentaire sur cette question dans les médias. Cependant, Robert a réussi à contacter le représentant du Vatican, après quoi la vulnérabilité a été corrigée. Il s'est avéré que l'essence du problème résidait dans le traitement des données d'authentification des utilisateurs.
Lorsqu'un utilisateur s'est enregistré dans l'application Click to Pray avec son adresse e-mail, un message avec un code PIN a été envoyé à son compte. Il n'était pas nécessaire de définir un mot de passe. À l'avenir, il était nécessaire de se connecter de cette manière - une broche a été envoyée à l'adresse postale, permettant à l'utilisateur de commencer à travailler avec l'application.
Avant cela, le problème étant résolu, l'application a envoyé un code PIN de quatre caractères sous forme non cryptée. Il s'avère que lors de l'analyse du trafic réseau, il était possible d'intercepter un code PIN et de se connecter sans problème.
Élégant, à la mode, jeunesseRobert a montré une vulnérabilité aux journalistes de Cnet qui ont créé un compte spécifiquement pour tester le problème. L'expert a pris le contrôle du compte, et ses créateurs ont été expulsés du compte, et un message a été affiché indiquant que son propriétaire s'était connecté depuis un autre appareil. Le «pirate» pouvait tout faire avec le compte de l'utilisateur, le niveau d'accès ne différait pas du niveau d'accès du propriétaire. Ainsi, le compte pourrait simplement être supprimé.
Maintenant, ce problème n'existe pas, car, comme mentionné ci-dessus, le Vatican a corrigé la vulnérabilité. Mais il y a une autre fonctionnalité intéressante - l'application Android demande des données de géolocalisation et le droit de faire des appels.