Er der noget hellig tilbage i denne verden? Der findes en sikkerhedsfejl i en ny smart rosary
I hvad nogle ville betragte som et underligt forsøg på at få flere mennesker interesseret i religion, meddelte den katolske kirke i sidste uge, at den lancerer en splinterny smart rosenkrans. Enheden koster lidt over $ 100, og den aktiveres, når brugeren tegner korsets tegn. Som du måske har gætt, ledsages det af en mobilapplikation, der ud over nogle fitnessdata også giver folk adskillige muligheder, der hjælper dem med at forbedre deres bønevaner. Det ultimative mål er tilsyneladende at få teknisk-erfarne mennesker til at bede oftere.
Hvor succesrig det vil være at gøre det, er det tid til at fortælle. Det, vi ved på dette tidspunkt, er imidlertid, at den, der udviklede konceptet, ikke syntes at have sikkerhed meget højt på deres prioriteringsliste. Forskere downloadede appen umiddelbart efter den 17. oktober officielle meddelelse, og inden for få minutter fandt de et ret skinnende sikkerhedshul.
Sårbarheden over for overtagelse af kontoen blev uafhængigt opdaget af en fransk sikkerhedsekspert, der ledes af Twitter-grebet @ fs0c131y og af et team af forskere fra Fidus Information Security . Vatikanet blev straks underrettet, og en plaster blev frigivet den følgende dag. Jo mere du læser om sårbarheden, desto mere har du den fornemmelse, at udviklerne ikke rigtig tænkte hele systemet igennem.
Table of Contents
Et mindre end perfekt system til at begynde med
Ligesom næsten alt, der er forbundet med internettet i dag, kræver en konto at bruge den smarte rosenkrans funktioner. Brugere kan enten logge ind ved hjælp af deres Facebook- eller Google-profiler, eller de kan vælge at oprette en dedikeret eRosary-konto. Problemerne er med den anden mulighed.
I stedet for en adgangskode logger brugerne på med en fircifret PIN-kode. Dette er det eneste, der beskytter deres konti, og i denne dag og alder er det simpelthen ikke stærk nok, især når du overvejer det faktum, at som Fidus 'forskere påpegede, appens udviklere ikke satte nogen hastighedsbegrænsende på API'en. Det eneste, der kan hæmme hackernes fremskridt, er det faktum, at brugerne er begrænset til et loginforsøg pr. Minut.
Med andre ord er et brute-force-angreb ikke meget usandsynligt, især hvis cyberkriminelle er bestemt nok. Når du ser på nogle af de andre egenskaber ved mekanismen til oprettelse af konti, begynder tingene imidlertid at blive værre.
En bruger kan ikke vælge sin egen pinkode. I stedet modtager de en via e-mail, og de skal indtaste den i appen for at fortsætte med registreringen. Dette er næppe en ideel situation af flere årsager. For det første rejser det faktum, at pinkoder flyver rundt i almindelig tekst, nogle spørgsmål omkring, hvordan de gemmes af appen. Og selvom du glemmer dette, kan du ikke ignorere det faktum, at e-mail aldrig har været betragtet som det sikreste kommunikationsmiddel, især når der er indloggingsdata involveret. Desværre var brugerens indbakke ikke det eneste sted, hvor pinkoden skulle lande.
En designfejl i API muliggjorde en fuld kontoovertagelse
Eksperterne fandt ud af, at efter brugere indtastede deres e-mail-adresse og klikkede på "Næste", udløste de en API-funktion kaldet "resend_pin" (som formodentlig også bruges, når pinkoden er glemt). Dette ville sende PIN-koden til brugerens e-mail, som var forventet (hvis ikke ideel) adfærd, men den ville også sende den tilbage som et API-svar, hvilket ikke var. Med andre ord havde en angriber chancen for at se PIN-koden uden at have adgang til brugerens indbakke.
Du kan måske tro, at eRosary-kontoen ikke er den vigtigste personlige profil, som brugerne kunne have, og manglen på betalingsoplysninger eller ting som Social Security Numbers og ID-dokumenter gør det muligvis et potentielt brud lidt lettere at sluge. Ikke desto mindre indeholder de berørte konti stadig detaljer som telefonnumre, fødselsdato, højde, vægt osv., Så sårbarheden bør ikke tages let.
Plasteret blev frigivet hurtigt
Hvis der er noget positivt, vi kan skille os ud af alt dette, ville det være Kirkens relativt hurtige reaktion. Forskerne sagde, at de personer, der var ansvarlige for appen, optrådte professionelt, og det blotte faktum, at hullet var tilsluttet inden for 24 timer efter den oprindelige afsløring, taler mængder om, hvordan problemet blev håndteret. Desværre er der stadig nogle spørgsmål.
Fidus 'eksperter bemærkede, at klartekst-PIN-koden i API-svaret er blevet byttet til en 8-cifret streng, hvilket sandsynligvis er en tilsløret version af den rigtige ting. Lige nu ved forskerne ikke, hvordan man knækker obfusceringsalgoritmen, men deres rapport antyder, at omvendt konstruktion kan være et spørgsmål om tid.
Alt i alt er Vatikanets seneste skridt ind i den digitale verden set fra en sikkerhedsmæssig synsvinkel til en rystende start. Lad os håbe, at det ikke bliver noget ujævnere.
