Y a-t-il une gauche sacrée dans ce monde? Un nouveau chapelet intelligent révèle une faille de sécurité

eRosary Security Vulnerability

Dans ce que certains considéreraient comme une étrange tentative d’intéresser davantage de gens à la religion, l’Église catholique a annoncé la semaine dernière le lancement d’un nouveau chapelet intelligent. Le dispositif coûte un peu plus de 100 $ et est activé lorsque l'utilisateur fait le signe de la croix. Comme vous l'avez peut-être deviné, elle est accompagnée d'une application mobile qui, outre certaines données relatives à la condition physique, offre aux personnes de nombreuses options pour les aider à améliorer leurs habitudes de prière. Apparemment, le but ultime est de faire prier plus souvent les personnes férues de technologie.

Il est temps de dire à quel point il réussira à le faire. Ce que nous savons à ce stade, cependant, est que celui qui a développé le concept ne semblait pas avoir une sécurité très haute sur sa liste de priorités. Les chercheurs ont téléchargé l'application immédiatement après l'annonce officielle du 17 octobre et ont constaté en quelques minutes un trou dans la sécurité.

La vulnérabilité de prise de contrôle de compte a été découverte de manière indépendante par un expert en sécurité français inscrit sur le compte Twitter handle @ fs0c131y et par une équipe de chercheurs de Fidus Information Security . Le Vatican fut immédiatement informé et un patch fut publié le lendemain. Cependant, plus vous en saurez sur la vulnérabilité, plus vous aurez l'impression que les développeurs ne pensent pas vraiment à l'ensemble du système.

Un système qui n'est pas parfait pour commencer

Comme presque tout ce qui est connecté à Internet de nos jours, utiliser au maximum les fonctions du chapelet intelligent nécessite un compte. Les utilisateurs peuvent se connecter en utilisant leurs profils Facebook ou Google, ou ils peuvent choisir de créer un compte eRosary dédié. Les problèmes sont avec la deuxième option.

Au lieu d'un mot de passe, les utilisateurs se connectent avec un code PIN à quatre chiffres. C’est la seule chose qui protège leurs comptes et, de nos jours, elle n’est tout simplement pas assez puissante, surtout si l’on tient compte du fait que, comme les chercheurs de Fidus l’ont souligné, les développeurs de l’application n’ont mis en place aucune limitation des taux. sur l'API. La seule chose qui pourrait entraver la progression des pirates est le fait que les utilisateurs sont limités à une tentative de connexion par minute.

En d'autres termes, une attaque par force brute n'est pas très improbable, surtout si le cybercriminel est suffisamment déterminé. Cependant, lorsque vous examinez certaines des autres caractéristiques du mécanisme de création de compte, la situation commence à empirer.

Un utilisateur ne peut pas choisir son propre code PIN. Au lieu de cela, ils en reçoivent un par courrier électronique et doivent le saisir dans l'application pour pouvoir continuer l'enregistrement. Ce n'est pas une situation idéale pour plusieurs raisons. D'une part, le fait que les codes PIN volent en texte clair soulève certaines questions sur la manière dont ils sont stockés par l'application. Et même si vous oubliez cela, vous ne pouvez pas ignorer le fait que le courrier électronique n'a jamais été considéré comme le moyen de communication le plus sûr, en particulier lorsque les données de connexion sont impliquées. Malheureusement, la boîte de réception de l'utilisateur n'était pas le seul endroit où le code PIN atterrirait.

Un défaut de conception dans l'API a permis une prise de contrôle de compte complète

Les experts ont découvert qu'après avoir saisi l'adresse e-mail et cliqué sur "Suivant", les utilisateurs ont activé une fonction API appelée "resend_pin" (qui, vraisemblablement, est également utilisée lorsque le code confidentiel est oublié). Cela enverrait le code PIN au courrier électronique de l'utilisateur, comportement attendu (sinon idéal), mais le renverrait également sous forme de réponse de l'API, ce qui n'était pas le cas.. En d'autres termes, un attaquant a eu la chance de voir le code PIN sans avoir accès à la boîte de réception de l'utilisateur.

Vous pensez peut-être que le compte eRosary n'est pas le profil personnel le plus important que les utilisateurs puissent avoir. En effet, le manque d'informations de paiement ou d'éléments tels que les numéros de sécurité sociale et les documents d'identité rend une éventuelle violation un peu plus facile à avaler. Néanmoins, les comptes concernés contiennent toujours des informations telles que les numéros de téléphone, les dates de naissance, la taille, le poids, etc., de sorte que la vulnérabilité ne doit pas être prise à la légère.

Le patch a été publié rapidement

S'il y a quelque chose de positif que nous puissions distinguer de tout cela, ce serait la réaction relativement rapide de l'Église. Les chercheurs ont déclaré que les personnes responsables de l'application agissaient de manière professionnelle et que le simple fait que le trou ait été bouché dans les 24 heures suivant la divulgation initiale en dit long sur la façon dont le problème a été traité. Malheureusement, il reste quelques questions.

Les experts de Fidus ont noté que le code PIN en texte clair dans la réponse de l'API avait été remplacé par une chaîne de 8 chiffres, ce qui est probablement une version obscurcie de la réalité. Pour le moment, les chercheurs ne savent pas comment déchiffrer l’algorithme d’obscurcissement, mais leur rapport suggère que l’ingénierie inverse pourrait être une question de temps.

Au total, du point de vue de la sécurité, la dernière incursion du Vatican dans le monde numérique commence mal. Espérons que cela ne soit pas plus cahoteux.

October 22, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 6 + 8 ?