Alguns dias atrás, o Vaticano
falou sobre contas eletrônicas, chamadas "Click to Pray eRosary". Este é um dispositivo de alta tecnologia que funciona segundo um princípio semelhante aos rastreadores de fitness. Assim, as contas rastreiam o número de etapas executadas e a distância total que o usuário percorreu. Mas também controla a atitude do crente em relação à prática de ritos religiosos.
O dispositivo é ativado quando o crente começa a ser batizado. Nesse caso, o dispositivo está conectado ao aplicativo com instruções de áudio destinadas a orações, também há fotografias, vídeos, etc. Para que o crente não se confunda, o rosário indica que oração foi dita e quantas vezes. Tudo ficaria bem, mas quase imediatamente após o lançamento do
rosário, um especialista em segurança da informação invadiu , como se viu, isso não é difícil.
A propósito, este dispositivo não é gratuito, o Vaticano o vende por US $ 110. Após a ativação, o dispositivo se conecta à Rede Mundial de Oração do Papa.
Mas, como se viu, os dados de fiéis que usam contas eletrônicas podem ser presas fáceis para os agressores. O problema com a proteção das informações do usuário foi descoberto pelo especialista francês em segurança da informação Baptist Robert (Baptiste Robert). Ele quebrou o rosário (uma estranha combinação de palavras, é claro - "quebrar o rosário") do Vaticano em apenas 15 minutos. A vulnerabilidade fornece ao invasor controle sobre a conta do proprietário do dispositivo.
Para acessar sua conta, você só precisa saber o endereço de e-mail do usuário. "Essa vulnerabilidade é muito significativa porque permite que um invasor obtenha controle sobre a conta e seus dados pessoais", disse Robert.
O Vaticano não fez nenhum comentário sobre este assunto na mídia. No entanto, Robert conseguiu entrar em contato com o representante do Vaticano, após o qual a vulnerabilidade foi corrigida. Como se viu, a essência do problema estava no processamento de dados de autenticação do usuário.
Quando um usuário registrado no aplicativo Click to Pray com seu endereço de email, uma mensagem com um código PIN era enviada para sua conta. Não havia necessidade de definir uma senha. No futuro, era necessário efetuar login dessa maneira - um alfinete foi enviado para o endereço de correspondência, usando o qual o usuário poderia começar a trabalhar com o aplicativo.
Antes, como o problema foi resolvido, o aplicativo enviou um PIN de quatro caracteres em formato não criptografado. Acontece que, ao analisar o tráfego de rede, foi possível interceptar um pino e efetuar login sem problemas.
Elegante, elegante, juventudeRobert mostrou vulnerabilidade aos repórteres da Cnet que criaram uma conta especificamente para testar o problema. O especialista ganhou controle sobre a conta e seus criadores foram expulsos da conta, e uma mensagem foi exibida informando que seu proprietário havia feito login em outro dispositivo. O "cracker" pode fazer qualquer coisa com a conta do usuário; o nível de acesso não difere do nível de acesso do proprietário. Portanto, a conta pode ser simplesmente excluída.
Agora, esse problema não existe, porque, como mencionado acima, o Vaticano corrigiu a vulnerabilidade. Mas há outro recurso interessante - o aplicativo Android pede dados de geolocalização e o direito de fazer chamadas.