几天前,梵蒂冈
谈到了电子珠子,称为“点击祈祷eRosary”。 这是一种高科技设备,其原理类似于健身追踪器。 因此,磁珠会跟踪所采取的步骤数以及用户已覆盖的总距离。 但这也控制了信徒对宗教仪式的态度。
当信徒开始受洗时,设备被激活。 在这种情况下,设备将通过用于祈祷的音频指令连接到应用程序,此外还有照片,视频等。 为了使信徒不感到困惑,念珠指出了祷告的内容和次数。 一切都会好起来的,但事实证明,在
念珠发布后几乎立即
,一名信息安全专家砍死了,这并不困难。
顺便说一句,该设备不是完全免费的,梵蒂冈以110美元的价格出售,激活后,该设备连接到教皇的全球祈祷网。
但是,事实证明,使用电子珠子的信徒的数据很容易成为攻击者的猎物。 法国信息安全专家Baptist Robert(Baptiste Robert)发现了与保护用户信息有关的问题。 他在短短15分钟内从梵蒂冈破解了念珠(当然,这是一个奇怪的组合-“弄碎念珠”)。 该漏洞使攻击者可以控制设备所有者的帐户。
为了访问您的帐户,您只需要知道用户的电子邮件地址即可。 罗伯特说:“此漏洞非常重要,因为它使攻击者可以控制该帐户及其个人数据。”
梵蒂冈没有在媒体上对此事发表任何评论。 但是,Robert设法与梵蒂冈代表联系,此后修复了漏洞。 事实证明,问题的实质在于用户身份验证数据的处理。
当用户使用电子邮件地址在“点击祈祷”应用程序中注册时,带有PIN码的消息将发送到他们的帐户。 无需设置密码。 将来,有必要以这种方式登录-将一个图钉发送到邮件地址,用户可以使用该图钉开始使用该应用程序。
在此之前,由于问题已解决,应用程序以未加密的形式发送了四个字符的PIN。 事实证明,在分析网络流量时,可以毫无问题地拦截针脚并登录。
时尚,时髦,青年Robert向Cnet记者展示了漏洞,后者专门创建了一个帐户来测试该问题。 专家获得了对该帐户的控制权,其创建者被赶出了帐户,并显示一条消息,指出其所有者已从另一台设备登录。 “黑客”可以使用用户的帐户执行任何操作;访问权限级别与所有者的访问权限级别没有区别。 因此,该帐户可以简单地删除。
现在不存在此问题,因为如上所述,梵蒂冈修复了该漏洞。 但是还有另一个有趣的功能-Android应用程序要求提供地理位置数据和进行通话的权利。