Van valami Szent bal ezen a világon? Az új intelligens rózsafüzérben biztonsági hiba található

eRosary Security Vulnerability

A katolikus egyház a múlt héten bejelentette, hogy egy vadonatúj intelligens rózsafüzért indít, amiben egyesek furcsa kísérletnek tekintik a vallás iránti érdeklődés fokozását. Az eszköz valamivel több, mint 100 dollárba kerül, és akkor aktiválódik, amikor a felhasználó aláírja a kereszt jelét. Mint valószínűleg kitalálta, ezt egy mobilalkalmazás kíséri, amely bizonyos fitneszadatokon kívül számos lehetőséget kínál az emberek számára, amelyek segítenek javítani imádkozási szokásaikat. Nyilvánvaló, hogy a végső cél az, hogy a tech-hozzáértésű emberek gyakrabban imádkozzanak.

Az ideje elmondani, milyen sikeres lesz ez a cselekedet. Amit azonban tudunk ezen a ponton az, hogy aki kidolgozta a koncepciót, úgy tűnt, hogy a biztonsága nem volt rendkívül magas prioritási listáján. A kutatók az október 17-i hivatalos bejelentést követően azonnal letöltötték az alkalmazást, és perceken belül meglehetősen látványos biztonsági rést találtak.

A számlaátvétel sebezhetőségét egy francia biztonsági szakértő, a Twitter handle @ fs0c131y útján, valamint a Fidus Information Security kutatócsoportja fedezte fel . Azonnal értesítették a Vatikánt, és másnap kiadták a javítást. Minél többet olvasol a sebezhetőségről, annál inkább megmarad az érzése, hogy a fejlesztők nem igazán gondolkodtak az egész rendszeren.

Kevésbé tökéletes rendszer, kezdve

Mint manapság szinte mindazokhoz, amelyek kapcsolódnak az internethez, az okos rózsafüzér funkcióinak teljes mértékű felhasználásához is szükség van fiókra. A felhasználók bejelentkezhetnek a Facebook vagy a Google profiljuk segítségével, vagy választhatnak egy külön eRosary-fiók létrehozására. A problémák a második lehetőséggel kapcsolatosak.

Jelszó helyett a felhasználók négy számjegyű PIN-kóddal jelentkeznek be. Ez az egyetlen, amely védi számláikat, és manapság ez egyszerűen nem elég erős, főleg ha figyelembe vesszük azt a tényt, hogy - amint a Fidus kutatói rámutattak - az alkalmazás fejlesztői nem tettek rá korlátozást az API-n. Az egyetlen dolog, amely akadályozhatja a hackerek fejlődését, az a tény, hogy a felhasználók percenként egy bejelentkezési kísérletre korlátozódnak.

Más szavakkal: a brutális erőszakos támadás nem túl valószínűtlen, főleg, ha a számítógépes bűnözés elég határozott. Ha azonban megvizsgálja a fiók létrehozásának mechanizmusának néhány egyéb jellemzőit, a dolgok még rosszabbá válnak.

A felhasználónak nem kell kiválasztania a saját PIN-kódját. Ehelyett e-mailben kapnak egyet, és be kell írniuk az alkalmazásba a regisztráció folytatásához. Ez aligha ideális helyzet több okból is. Először is, az a tény, hogy a PIN-kódok egyszerű szövegben repülnek, felveti néhány kérdést az alkalmazás tárolásának módjáról. És még ha el is felejti ezt, nem hagyhatja figyelmen kívül azt a tényt, hogy az e-maileket soha nem tartották a legbiztonságosabb kommunikációs eszköznek, különösen akkor, ha bejelentkezési adatok vannak benne. Sajnos a felhasználói beérkező levelek mappája nem volt az egyetlen hely, ahol a PIN eljuthat.

Az API tervezési hibája lehetővé tette a fiók teljes átvételét

A szakértők rájöttek, hogy miután a felhasználók megadták az e-mail címüket és rákattintottak a „Következő” gombra, elindítottak egy „resend_pin” nevű API funkciót (amelyet feltehetően akkor is használnak, ha a PIN-kódot elfelejtették). Ez elküldi a PIN-kódot a felhasználó e-mailjére, ami elvárt (ha nem ideális) viselkedés, de azt is visszaadja API-válaszként, amely nem volt. Más szavakkal: a támadónak esélye volt a PIN-kód megtekintésére anélkül, hogy hozzáférést kapott volna a felhasználó beérkezett üzenetek mappájához.

Gondolhatja, hogy az eRosary-fiók nem a legfontosabb személyes profil felhasználói, és valóban az, hogy hiányzik fizetési információ vagy olyan dolgok, mint például a társadalombiztosítási számok és személyi igazolványok, megkönnyíti a lehetséges jogsértések lenyelését. Ennek ellenére az érintett fiókok még mindig tartalmaznak olyan adatokat, mint telefonszámok, születési idők, magasság, súly stb., Így a sebezhetőséget nem szabad enyhén venni.

A tapaszt gyorsan kiadták

Ha van valami pozitív, amit ebből ki lehet választani, az az egyház viszonylag gyors reakciója lenne. A kutatók szerint az alkalmazásért felelõs emberek szakszerûen jártak el, és pusztán az a tény, hogy a lyukat az elsõ nyilvánosságra hozatalt követõ 24 órán belül bedugtak, sokrétûen szól a probléma kezelésérõl. Sajnos még vannak kérdések.

A Fidus szakértői megjegyezték, hogy az egyszerűsített szöveges PIN-kódot az API-válaszban 8-jegyű karakterláncra cserélték, amely valószínűleg az igazi elhalványult verziója. Jelenleg a kutatók nem tudják, hogyan lehet megtörni az obfuzkációs algoritmust, ám jelentésük szerint a fordított tervezés idő kérdése lehet.

Mindent egybevetve, biztonsági szempontból a Vatikán legutóbbi behatolása a digitális világba egy rettenetes kezdettel kezdődik. Reméljük, hogy nem lesz sokkal rövidebb.

October 22, 2019

Válaszolj

FONTOS! A folytatáshoz meg kell oldania a következő egyszerű matematikát.
Please leave these two fields as is:
Mi az 8 + 2?