Υπάρχει κάτι αληθινό αριστερό σε αυτόν τον κόσμο; Ένα ελάττωμα ασφαλείας βρίσκεται σε ένα νέο Smart Rosary

eRosary Security Vulnerability

Σε μερικούς που θα εξετάσουν μια παράξενη προσπάθεια να προσελκύσουν περισσότερους ανθρώπους που ενδιαφέρονται για τη θρησκεία, η Καθολική Εκκλησία ανακοίνωσε την περασμένη εβδομάδα ότι ξεκινάει ένα ολοκαίνουργιο έξυπνο κομπολόι. Η συσκευή κοστίζει λίγο περισσότερο από $ 100 και ενεργοποιείται όταν ο χρήστης κάνει το σημάδι του σταυρού. Όπως ίσως έχετε μαντέψει, αυτό συνοδεύεται από μια εφαρμογή για κινητά, η οποία, εκτός από ορισμένα δεδομένα γυμναστικής, δίνει επίσης στους ανθρώπους πολλές επιλογές που τους βοηθούν να βελτιώσουν τις προσευχές τους. Προφανώς, ο τελικός στόχος είναι να αποκτήσουν οι άνθρωποι τεχνολογίας καταλαβαίνω πιο συχνά.

Πόσο επιτυχής θα γίνει αυτό είναι για το χρόνο να το πούμε. Αυτό που γνωρίζουμε σε αυτό το σημείο, ωστόσο, είναι ότι όποιος ανέπτυξε την έννοια δεν φαίνεται να έχει πολύ υψηλή ασφάλεια στον κατάλογο προτεραιότητας τους. Οι ερευνητές κατέβασαν την εφαρμογή αμέσως μετά την επίσημη ανακοίνωση των 17 Οκτωβρίου και μέσα σε λίγα λεπτά βρήκαν μια μάλλον φευγαλέα τρύπα ασφαλείας.

Η ευπάθεια εξαγοράς λογαριασμού ανακαλύφθηκε ανεξάρτητα από έναν γάλλο εμπειρογνώμονα ασφαλείας που διέρχεται από το χειριστήριο Twitter @ fs0c131y και από μια ομάδα ερευνητών από την Fidus Information Security . Το Βατικανό ενημερώθηκε αμέσως και ένα μπάλωμα απελευθερώθηκε την επόμενη μέρα. Όσο περισσότερο διαβάζετε για την ευπάθεια, τόσο περισσότερο αφήνετε με την αίσθηση ότι οι προγραμματιστές δεν πίστευαν πραγματικά ολόκληρο το σύστημα.

Ένα λιγότερο από το τέλειο σύστημα για να ξεκινήσετε

Όπως σχεδόν όλα τα στοιχεία που συνδέονται με το διαδίκτυο σήμερα, χρησιμοποιώντας τις δυνατότητες του έξυπνου κομπολογιού για την πληρέστερη απαιτεί ένα λογαριασμό. Οι χρήστες μπορούν είτε να συνδεθούν χρησιμοποιώντας τα προφίλ τους στο Facebook ή στο Google, είτε μπορούν να επιλέξουν να δημιουργήσουν έναν ειδικό λογαριασμό eRosary. Τα προβλήματα είναι με τη δεύτερη επιλογή.

Αντί ενός κωδικού πρόσβασης, οι χρήστες συνδέονται με τετραψήφιο κωδικό PIN. Αυτό είναι το μόνο πράγμα που προστατεύει τους λογαριασμούς τους και αυτή τη μέρα δεν είναι αρκετά ισχυρή, ειδικά όταν εξετάζετε το γεγονός ότι, όπως επεσήμαναν οι ερευνητές της Fidus, οι προγραμματιστές της εφαρμογής δεν έθεσαν κανένα όριο στο API. Το μόνο πράγμα που θα μπορούσε να παρεμποδίσει την πρόοδο των χάκερ είναι το γεγονός ότι οι χρήστες περιορίζονται σε μία προσπάθεια σύνδεσης ανά λεπτό.

Με άλλα λόγια, μια επίθεση βίαιων δυνάμεων δεν είναι πολύ απίθανη, ειδικά αν ο εγκληματίας του κυβερνοχώρου είναι αρκετά αποφασισμένος. Όταν ρίξετε μια ματιά σε κάποια από τα άλλα χαρακτηριστικά του μηχανισμού δημιουργίας λογαριασμού, τα πράγματα αρχίζουν να επιδεινώνονται.

Ένας χρήστης δεν μπορεί να επιλέξει το δικό του PIN. Αντ 'αυτού, λαμβάνουν ένα μέσω ηλεκτρονικού ταχυδρομείου και πρέπει να το καταχωρήσουν στην εφαρμογή για να συνεχίσουν την εγγραφή. Αυτό δεν είναι μια ιδανική κατάσταση για πολλούς λόγους. Για το ένα, το γεγονός ότι τα PINs πετούν γύρω σε απλό κείμενο δημιουργεί ορισμένες ερωτήσεις σχετικά με τον τρόπο με τον οποίο αποθηκεύονται από την εφαρμογή. Ακόμα και αν ξεχάσετε αυτό, δεν μπορείτε να αγνοήσετε το γεγονός ότι το ηλεκτρονικό ταχυδρομείο δεν θεωρήθηκε ποτέ ως το ασφαλέστερο μέσο επικοινωνίας, ειδικά όταν πρόκειται για δεδομένα σύνδεσης. Δυστυχώς, τα εισερχόμενα του χρήστη δεν ήταν το μόνο μέρος στο οποίο θα έφτανε ο κωδικός PIN.

Ένα ελάττωμα στο σχεδιασμό του API επέτρεψε την πλήρη ανάληψη λογαριασμού

Οι εμπειρογνώμονες ανακάλυψαν ότι αφού οι χρήστες εισήγαγαν τη διεύθυνσή τους ηλεκτρονικού ταχυδρομείου και έκαναν κλικ στο "Επόμενο", ενεργοποίησαν μια λειτουργία API που ονομάζεται "resend_pin" (η οποία, πιθανώς, χρησιμοποιείται και όταν το PIN είναι ξεχασμένο). Αυτό θα έστελνε το PIN στο email του χρήστη, το οποίο ήταν αναμενόμενη (αν όχι ιδανική) συμπεριφορά, αλλά θα το αποστείλει επίσης ως απάντηση API, η οποία δεν ήταν. Με άλλα λόγια, ένας εισβολέας είχε την ευκαιρία να δει το PIN χωρίς να έχει πρόσβαση στα εισερχόμενα του χρήστη.

Ίσως να πιστεύετε ότι ο λογαριασμός eRosary δεν είναι το σημαντικότερο προσωπικό προφίλ που μπορεί να έχουν οι χρήστες και στην πραγματικότητα η έλλειψη πληροφοριών πληρωμής ή πράγματα όπως τα αριθμοί κοινωνικής ασφάλισης και τα έγγραφα ταυτότητας κάνουν μια πιθανή παραβίαση λίγο πιο εύκολη στην κατάποση. Ωστόσο, οι λογαριασμοί που επηρεάζονται εξακολουθούν να περιέχουν λεπτομέρειες όπως αριθμούς τηλεφώνου, ημερομηνίες γέννησης, ύψος, βάρος κ.λπ., οπότε η ευπάθεια δεν πρέπει να λαμβάνεται ελαφρώς.

Το έμπλαστρο απελευθερώθηκε γρήγορα

Αν υπάρχει κάτι θετικό, μπορούμε να ξεχωρίσουμε από όλα αυτά, θα ήταν η σχετικά γρήγορη αντίδραση της Εκκλησίας. Οι ερευνητές δήλωσαν ότι οι υπεύθυνοι για την εφαρμογή ενήργησαν επαγγελματικά και το γεγονός και μόνο ότι η τρύπα ήταν συνδεδεμένη εντός 24 ωρών από την αρχική αποκάλυψη μιλάει για το πώς χειρίστηκε το πρόβλημα. Δυστυχώς, εξακολουθούν να υπάρχουν ορισμένες ερωτήσεις.

Οι εμπειρογνώμονες του Fidus σημείωσαν ότι ο κωδικός PIN του κειμένου στην απάντηση API έχει αντικατασταθεί για μια συμβολοσειρά 8 ψηφίων, η οποία είναι πιθανώς μια συγκεχυμένη έκδοση του πραγματικού πράγματος. Μέχρι στιγμής, οι ερευνητές δεν ξέρουν πώς να σπάσουν τον αλγόριθμο περισπασμού, αλλά η έκθεσή τους δείχνει ότι η αντίστροφη μηχανική θα μπορούσε να είναι θέμα χρόνου.

Συνολικά, από την άποψη της ασφάλειας, η τελευταία εισβολή του Βατικανού στον ψηφιακό κόσμο ξεκινά από ένα ασταθές ξεκίνημα. Ας ελπίσουμε ότι δεν θα πάρει κανένα bumpier.

October 22, 2019

Αφήστε μια απάντηση

ΣΠΟΥΔΑΙΟΣ! Για να μπορέσετε να προχωρήσετε, θα πρέπει να λύσετε τα παρακάτω απλά μαθηματικά.
Please leave these two fields as is:
Τι είναι 5 + 6;