¿Hay algo sagrado en este mundo? Se encuentra una falla de seguridad en un nuevo rosario inteligente
En lo que algunos considerarían un extraño intento de hacer que más personas se interesen en la religión, la Iglesia Católica anunció la semana pasada que lanzará un nuevo rosario inteligente. El dispositivo cuesta un poco más de $ 100, y se activa cuando el usuario hace la señal de la cruz. Como habrás adivinado, está acompañado por una aplicación móvil que, además de algunos datos de estado físico, también ofrece a las personas numerosas opciones que les ayudan a mejorar sus hábitos de oración. Aparentemente, el objetivo final es lograr que las personas expertas en tecnología oren con más frecuencia.
Qué tan exitoso será hacerlo para que el tiempo lo diga. Sin embargo, lo que sí sabemos en este momento es que quien desarrolló el concepto no parecía tener una seguridad muy alta en su lista de prioridades. Los investigadores descargaron la aplicación inmediatamente después del anuncio oficial del 17 de octubre y, en cuestión de minutos, encontraron un agujero de seguridad bastante evidente.
La vulnerabilidad de adquisición de cuenta fue descubierta de forma independiente por un experto en seguridad francés que utilizó el identificador de Twitter @ fs0c131y y un equipo de investigadores de Fidus Information Security . El Vaticano fue informado de inmediato, y se lanzó un parche al día siguiente. Sin embargo, cuanto más leas sobre la vulnerabilidad, más te quedará la sensación de que los desarrolladores realmente no pensaron en todo el sistema.
Table of Contents
Un sistema menos que perfecto para comenzar
Como casi todo lo que está conectado a Internet hoy en día, el uso completo de las funciones del rosario inteligente requiere una cuenta. Los usuarios pueden iniciar sesión utilizando sus perfiles de Facebook o Google, o pueden optar por crear una cuenta de eRosary dedicada. Los problemas están con la segunda opción.
En lugar de una contraseña, los usuarios inician sesión con un código PIN de cuatro dígitos. Esto es lo único que protege sus cuentas, y hoy en día, simplemente no es lo suficientemente fuerte, especialmente cuando se considera el hecho de que, como señalaron los investigadores de Fidus, los desarrolladores de la aplicación no pusieron ninguna limitación de velocidad en la API Lo único que podría obstaculizar el progreso de los hackers es el hecho de que los usuarios están restringidos a un intento de inicio de sesión por minuto.
En otras palabras, un ataque de fuerza bruta no es muy improbable, especialmente si el cibercriminal está suficientemente determinado. Sin embargo, cuando observa algunas de las otras características del mecanismo de creación de cuentas, las cosas comienzan a empeorar.
Un usuario no puede elegir su propio PIN. En cambio, reciben uno por correo electrónico y deben ingresarlo en la aplicación para continuar con el registro. Esta no es una situación ideal por múltiples razones. Por un lado, el hecho de que los PIN vuelen en texto sin formato plantea algunas preguntas sobre cómo son almacenados por la aplicación. E incluso si olvida esto, no puede ignorar el hecho de que el correo electrónico nunca se ha considerado el medio de comunicación más seguro, especialmente cuando se trata de datos de inicio de sesión. Desafortunadamente, la bandeja de entrada del usuario no era el único lugar donde aterrizaría el PIN.
Una falla de diseño en la API permitió una adquisición de cuenta completa
Los expertos descubrieron que después de que los usuarios ingresaron su dirección de correo electrónico y hicieron clic en "Siguiente", activaron una función API llamada "resend_pin" (que, presumiblemente, también se usa cuando se olvida el PIN). Esto enviaría el PIN al correo electrónico del usuario, que era un comportamiento esperado (si no ideal), pero también lo devolvería como una respuesta API, que no era. En otras palabras, un atacante tuvo la oportunidad de ver el PIN sin tener acceso a la bandeja de entrada del usuario.
Puede pensar que la cuenta de eRosary no es el perfil personal más importante que pueden tener los usuarios, y de hecho, la falta de información de pago o cosas como los números de seguro social y los documentos de identificación hacen que una posible infracción sea un poco más fácil de tragar. Sin embargo, las cuentas afectadas aún contienen detalles como números de teléfono, fechas de nacimiento, altura, peso, etc., por lo que la vulnerabilidad no debe tomarse a la ligera.
El parche fue lanzado rápidamente
Si hay algo positivo que podamos destacar de todo esto, sería la reacción relativamente rápida de la Iglesia. Los investigadores dijeron que las personas responsables de la aplicación actuaron profesionalmente, y el simple hecho de que el agujero se tapara dentro de las 24 horas posteriores a la divulgación inicial dice mucho sobre cómo se manejó el problema. Lamentablemente, todavía hay algunas preguntas.
Los expertos de Fidus señalaron que el PIN de texto sin formato en la respuesta de la API se ha cambiado por una cadena de 8 dígitos, que probablemente sea una versión ofuscada de la cosa real. En este momento, los investigadores no saben cómo descifrar el algoritmo de ofuscación, pero su informe sugiere que la ingeniería inversa podría ser cuestión de tiempo.
En general, desde el punto de vista de la seguridad, la última incursión del Vaticano en el mundo digital ha tenido un comienzo inestable. Esperemos que no se vuelva más desigual.