Beberapa hari yang lalu, Vatikan
berbicara tentang manik-manik elektronik, yang disebut "Click to Pray eRosary." Ini adalah perangkat berteknologi tinggi yang bekerja berdasarkan prinsip yang mirip dengan pelacak kebugaran. Jadi, manik-manik melacak jumlah langkah yang diambil dan jarak total yang telah dijangkau pengguna. Tetapi juga mengontrol sikap orang percaya terhadap praktik ritus keagamaan.
Perangkat diaktifkan ketika orang percaya mulai dibaptis. Dalam hal ini, perangkat terhubung ke aplikasi dengan instruksi audio yang dimaksudkan untuk sholat, ada juga foto, video, dll. Agar orang percaya tidak bingung, rosario menunjukkan doa apa yang diucapkan dan berapa kali. Semuanya akan baik-baik saja, tetapi hampir segera setelah
rosario dirilis
, seorang spesialis keamanan informasi diretas , ternyata, ini tidak sulit.
Omong-omong, perangkat ini sama sekali tidak gratis, Vatikan menjualnya seharga $ 110, setelah aktivasi, perangkat terhubung ke Jaringan Doa Worldwide Paus.
Tapi, ternyata, data jamaah yang menggunakan manik-manik elektronik bisa menjadi mangsa mudah bagi penyerang. Masalah dengan perlindungan informasi pengguna ditemukan oleh spesialis keamanan informasi Prancis Baptist Robert (Baptiste Robert). Dia memecahkan rosario (kombinasi kata-kata yang aneh, tentu saja - "memecahkan rosario") dari Vatikan hanya dalam 15 menit. Kerentanan memberikan kontrol penyerang atas akun pemilik perangkat.
Untuk mengakses akun Anda, Anda hanya perlu mengetahui alamat email pengguna. "Kerentanan ini sangat signifikan karena memungkinkan penyerang untuk mendapatkan kendali atas akun dan data pribadinya," kata Robert.
Vatikan tidak memberikan komentar apa pun tentang masalah ini di media. Namun, Robert berhasil menghubungi perwakilan Vatikan, setelah itu kerentanan diperbaiki. Ternyata, inti dari masalahnya adalah dalam pemrosesan data otentikasi pengguna.
Ketika seorang pengguna terdaftar dalam aplikasi Klik untuk Berdoa dengan alamat email mereka, sebuah pesan dengan kode PIN dikirim ke akun mereka. Tidak perlu mengatur kata sandi. Di masa depan, perlu untuk masuk dengan cara ini - pin dikirim ke alamat surat, yang digunakan pengguna untuk mulai bekerja dengan aplikasi tersebut.
Sebelum di sana, ketika masalah telah diperbaiki, aplikasi mengirim PIN empat karakter dalam bentuk yang tidak dienkripsi. Ternyata ketika menganalisis lalu lintas jaringan adalah mungkin untuk mencegat pin dan masuk tanpa masalah.
Bergaya, modis, awet mudaRobert menunjukkan kerentanan terhadap reporter Cnet yang membuat akun khusus untuk menguji masalah. Pakar memperoleh kendali atas akun tersebut, dan penciptanya dikeluarkan dari akun tersebut, dan sebuah pesan ditampilkan bahwa pemiliknya telah masuk dari perangkat lain. "Cracker" dapat melakukan apa saja dengan akun pengguna, tingkat akses tidak berbeda dari tingkat akses pemilik. Jadi, akun itu bisa dihapus begitu saja.
Sekarang masalah ini tidak ada, karena, seperti yang disebutkan di atas, Vatikan memperbaiki kerentanannya. Tetapi ada fitur menarik lainnya - aplikasi Android meminta data geolokasi dan hak untuk melakukan panggilan.