Gibt es noch etwas Heiliges auf dieser Welt? In einem neuen intelligenten Rosenkranz wurde eine Sicherheitslücke gefunden
Bei dem Versuch, mehr Menschen für Religion zu interessieren, gab die katholische Kirche in der vergangenen Woche bekannt, dass sie einen brandneuen Rosenkranz auf den Markt bringt. Das Gerät kostet etwas mehr als 100 US-Dollar und wird aktiviert, wenn der Benutzer das Kreuzzeichen macht. Wie Sie vielleicht erraten haben, wird es von einer mobilen Anwendung begleitet, die neben einigen Fitnessdaten auch zahlreiche Optionen bietet, mit denen sich die Gebetsgewohnheiten verbessern lassen. Anscheinend ist das ultimative Ziel, technisch versierte Menschen dazu zu bringen, öfter zu beten.
Wie erfolgreich das sein wird, bleibt abzuwarten. Was wir zum jetzigen Zeitpunkt jedoch wissen, ist, dass derjenige, der das Konzept entwickelt hat, anscheinend keine besonders hohe Sicherheit auf seiner Prioritätenliste hat. Die Forscher luden die App unmittelbar nach der offiziellen Ankündigung vom 17. Oktober herunter und fanden innerhalb weniger Minuten eine ziemlich krasse Sicherheitslücke.
Die Sicherheitsanfälligkeit in Bezug auf die Kontoübernahme wurde von einem französischen Sicherheitsexperten, der sich an Twitter handle @ fs0c131y wandte, und von einem Forscherteam von Fidus Information Security unabhängig entdeckt. Der Vatikan wurde sofort informiert und ein Patch wurde am folgenden Tag veröffentlicht. Je mehr Sie über die Sicherheitsanfälligkeit lesen, desto mehr haben Sie das Gefühl, dass die Entwickler das gesamte System nicht wirklich durchdacht haben.
Table of Contents
Ein alles andere als perfektes System
Wie fast alles, was heutzutage mit dem Internet verbunden ist, ist zur vollständigen Nutzung der Funktionen des Smart Rosary ein Konto erforderlich. Benutzer können sich entweder mit ihrem Facebook- oder Google-Profil anmelden oder ein dediziertes eRosary-Konto erstellen. Die Probleme liegen bei der zweiten Option.
Anstelle eines Passworts melden sich Benutzer mit einem vierstelligen PIN-Code an. Dies ist das einzige, was ihre Konten schützt, und heutzutage ist es einfach nicht stark genug, besonders wenn man bedenkt, dass die Entwickler der App, wie die Forscher von Fidus betonten, keine Ratenbegrenzung vorgenommen haben auf der API. Das Einzige, was den Fortschritt der Hacker behindern könnte, ist die Tatsache, dass die Benutzer auf einen Anmeldeversuch pro Minute beschränkt sind.
Mit anderen Worten, ein Brute-Force-Angriff ist nicht sehr unwahrscheinlich, insbesondere wenn der Cyberkriminelle fest genug ist. Wenn Sie sich jedoch einige der anderen Merkmale des Mechanismus zur Kontoerstellung ansehen, wird es immer schlimmer.
Ein Benutzer kann nicht seine eigene PIN auswählen. Stattdessen erhalten sie eine E-Mail und müssen diese in die App eingeben, um mit der Registrierung fortzufahren. Dies ist aus mehreren Gründen kaum eine ideale Situation. Zum einen wirft die Tatsache, dass PINs im Klartext herumfliegen, einige Fragen auf, wie sie von der App gespeichert werden. Und selbst wenn Sie dies vergessen, können Sie die Tatsache nicht ignorieren, dass E-Mails nie als das sicherste Kommunikationsmittel angesehen wurden, insbesondere wenn es sich um Anmeldedaten handelt. Leider war der Posteingang des Benutzers nicht der einzige Ort, an dem die PIN landen würde.
Ein Konstruktionsfehler in der API ermöglichte eine vollständige Übernahme des Kontos
Die Experten stellten fest, dass Benutzer nach der Eingabe ihrer E-Mail-Adresse und dem Klicken auf "Weiter" eine API-Funktion mit dem Namen "resend_pin" ausgelöst haben (die vermutlich auch verwendet wird, wenn die PIN vergessen wurde). Dies würde die PIN an die E-Mail des Benutzers senden, was ein (wenn auch nicht ideales) Verhalten war, aber es würde sie auch als API-Antwort zurücksenden, was nicht der Fall war. Mit anderen Worten, ein Angreifer hatte die Möglichkeit, die PIN zu sehen, ohne Zugriff auf den Posteingang des Benutzers zu haben.
Sie könnten denken, dass das eRosary-Konto nicht das wichtigste persönliche Profil ist, das Benutzer haben könnten, und in der Tat macht das Fehlen von Zahlungsinformationen oder Dingen wie Sozialversicherungsnummern und ID-Dokumenten einen möglichen Verstoß ein bisschen leichter zu schlucken. Die betroffenen Konten enthalten jedoch weiterhin Details wie Telefonnummern, Geburtsdaten, Größe, Gewicht usw., sodass die Sicherheitsanfälligkeit nicht leichtfertig behoben werden sollte.
Der Patch wurde schnell veröffentlicht
Wenn wir etwas Positives herausgreifen können, wäre dies die relativ schnelle Reaktion der Kirche. Die Forscher sagten, dass die für die App Verantwortlichen professionell handelten und die bloße Tatsache, dass das Loch innerhalb von 24 Stunden nach der erstmaligen Offenlegung verstopft wurde, spricht Bände darüber, wie das Problem behandelt wurde. Leider gibt es noch einige Fragen.
Die Experten von Fidus stellten fest, dass die Klartext-PIN in der API-Antwort gegen eine 8-stellige Zeichenfolge ausgetauscht wurde, bei der es sich wahrscheinlich um eine verschleierte Version des Originals handelt. Derzeit wissen die Forscher nicht, wie der Verschleierungsalgorithmus geknackt werden kann, aber ihr Bericht legt nahe, dass die Rückentwicklung eine Frage der Zeit sein könnte.
Alles in allem ist der jüngste Ausflug des Vatikans in die digitale Welt aus sicherheitstechnischer Sicht ein wackeliger Anfang. Hoffen wir, dass es nicht holpriger wird.
