Недавно выпущенные смарт-четки были взломаны за 15 минут

Дорога к спасению души при помощи интернета вымощена проблемами с кибербезопасностью. В этом на собственном опыте убедился Ватикан после того, как исследователь безопасности обнаружил уязвимость в смарт-четках.

Во вторник, 15 октября, Ватикан выпустил «умные» четки Click to Pray eRosary стоимостью $110. Четки представляют собой носимый гаджет, способный синхронизироваться со Всемирной сетью молитвы (Worldwide Prayer Network) Папы Римского. Устройство ежедневно предоставляет пользователям новые молитвы, а также напоминает, когда нужно молиться.

Всего 15 минут понадобилось исследователю безопасности Батисту Роберу (Baptiste Robert), известному в Twitter как Elliot Alderson, на взлом смарт-четок. Как оказалось, уязвимость в приложении Click to Pray eRosary позволяла получать несанкционированный доступ к чужим учетным записям, зная лишь электронные адреса, на который они зарегистрированы.

Как пояснил Робер, причиной уязвимости является то, как приложение обрабатывает учетные данные. При регистрации пользователь указывает только свой электронный адрес, а вместо настройки пароля приложение отправляет на указанный электронный ящик PIN-код. Процедура повторяется при каждой авторизации в приложении.

До выхода исправления приложение отправляло на сервер запросы на отправку четырехзначного PIN-кода. Проблема заключалась в том, что сам PIN-код также отправлялся через сеть. Злоумышленник мог легко его узнать, всего лишь проанализировав трафик.

Получив доступ к учетной записи жертвы, атакующий мог узнать ее пол, возраст, рост, вес, дату рождения, сколько раз она молилась, количество пройденных шагов в день, а также получить доступ к фотографии профиля. Злоумышленнику также не составляло труда удалить учетную запись и получить доступ к следующей, созданной жертвой.

Исследователь уведомил Ватикан о проблеме на следующий день после выхода четок, и она была сразу же исправлена.