Van valami Szent bal ezen a világon? Az új intelligens rózsafüzérben biztonsági hiba található
A katolikus egyház a múlt héten bejelentette, hogy egy vadonatúj intelligens rózsafüzért indít, amiben egyesek furcsa kísérletnek tekintik a vallás iránti érdeklődés fokozását. Az eszköz valamivel több, mint 100 dollárba kerül, és akkor aktiválódik, amikor a felhasználó aláírja a kereszt jelét. Mint valószínűleg kitalálta, ezt egy mobilalkalmazás kíséri, amely bizonyos fitneszadatokon kívül számos lehetőséget kínál az emberek számára, amelyek segítenek javítani imádkozási szokásaikat. Nyilvánvaló, hogy a végső cél az, hogy a tech-hozzáértésű emberek gyakrabban imádkozzanak.
Az ideje elmondani, milyen sikeres lesz ez a cselekedet. Amit azonban tudunk ezen a ponton az, hogy aki kidolgozta a koncepciót, úgy tűnt, hogy a biztonsága nem volt rendkívül magas prioritási listáján. A kutatók az október 17-i hivatalos bejelentést követően azonnal letöltötték az alkalmazást, és perceken belül meglehetősen látványos biztonsági rést találtak.
A számlaátvétel sebezhetőségét egy francia biztonsági szakértő, a Twitter handle @ fs0c131y útján, valamint a Fidus Information Security kutatócsoportja fedezte fel . Azonnal értesítették a Vatikánt, és másnap kiadták a javítást. Minél többet olvasol a sebezhetőségről, annál inkább megmarad az érzése, hogy a fejlesztők nem igazán gondolkodtak az egész rendszeren.
Table of Contents
Kevésbé tökéletes rendszer, kezdve
Mint manapság szinte mindazokhoz, amelyek kapcsolódnak az internethez, az okos rózsafüzér funkcióinak teljes mértékű felhasználásához is szükség van fiókra. A felhasználók bejelentkezhetnek a Facebook vagy a Google profiljuk segítségével, vagy választhatnak egy külön eRosary-fiók létrehozására. A problémák a második lehetőséggel kapcsolatosak.
Jelszó helyett a felhasználók négy számjegyű PIN-kóddal jelentkeznek be. Ez az egyetlen, amely védi számláikat, és manapság ez egyszerűen nem elég erős, főleg ha figyelembe vesszük azt a tényt, hogy - amint a Fidus kutatói rámutattak - az alkalmazás fejlesztői nem tettek rá korlátozást az API-n. Az egyetlen dolog, amely akadályozhatja a hackerek fejlődését, az a tény, hogy a felhasználók percenként egy bejelentkezési kísérletre korlátozódnak.
Más szavakkal: a brutális erőszakos támadás nem túl valószínűtlen, főleg, ha a számítógépes bűnözés elég határozott. Ha azonban megvizsgálja a fiók létrehozásának mechanizmusának néhány egyéb jellemzőit, a dolgok még rosszabbá válnak.
A felhasználónak nem kell kiválasztania a saját PIN-kódját. Ehelyett e-mailben kapnak egyet, és be kell írniuk az alkalmazásba a regisztráció folytatásához. Ez aligha ideális helyzet több okból is. Először is, az a tény, hogy a PIN-kódok egyszerű szövegben repülnek, felveti néhány kérdést az alkalmazás tárolásának módjáról. És még ha el is felejti ezt, nem hagyhatja figyelmen kívül azt a tényt, hogy az e-maileket soha nem tartották a legbiztonságosabb kommunikációs eszköznek, különösen akkor, ha bejelentkezési adatok vannak benne. Sajnos a felhasználói beérkező levelek mappája nem volt az egyetlen hely, ahol a PIN eljuthat.
Az API tervezési hibája lehetővé tette a fiók teljes átvételét
A szakértők rájöttek, hogy miután a felhasználók megadták az e-mail címüket és rákattintottak a „Következő” gombra, elindítottak egy „resend_pin” nevű API funkciót (amelyet feltehetően akkor is használnak, ha a PIN-kódot elfelejtették). Ez elküldi a PIN-kódot a felhasználó e-mailjére, ami elvárt (ha nem ideális) viselkedés, de azt is visszaadja API-válaszként, amely nem volt. Más szavakkal: a támadónak esélye volt a PIN-kód megtekintésére anélkül, hogy hozzáférést kapott volna a felhasználó beérkezett üzenetek mappájához.
Gondolhatja, hogy az eRosary-fiók nem a legfontosabb személyes profil felhasználói, és valóban az, hogy hiányzik fizetési információ vagy olyan dolgok, mint például a társadalombiztosítási számok és személyi igazolványok, megkönnyíti a lehetséges jogsértések lenyelését. Ennek ellenére az érintett fiókok még mindig tartalmaznak olyan adatokat, mint telefonszámok, születési idők, magasság, súly stb., Így a sebezhetőséget nem szabad enyhén venni.
A tapaszt gyorsan kiadták
Ha van valami pozitív, amit ebből ki lehet választani, az az egyház viszonylag gyors reakciója lenne. A kutatók szerint az alkalmazásért felelõs emberek szakszerûen jártak el, és pusztán az a tény, hogy a lyukat az elsõ nyilvánosságra hozatalt követõ 24 órán belül bedugtak, sokrétûen szól a probléma kezelésérõl. Sajnos még vannak kérdések.
A Fidus szakértői megjegyezték, hogy az egyszerűsített szöveges PIN-kódot az API-válaszban 8-jegyű karakterláncra cserélték, amely valószínűleg az igazi elhalványult verziója. Jelenleg a kutatók nem tudják, hogyan lehet megtörni az obfuzkációs algoritmust, ám jelentésük szerint a fordított tervezés idő kérdése lehet.
Mindent egybevetve, biztonsági szempontból a Vatikán legutóbbi behatolása a digitális világba egy rettenetes kezdettel kezdődik. Reméljük, hogy nem lesz sokkal rövidebb.
