C'è qualcosa di santo a sinistra in questo mondo? Un difetto di sicurezza si trova in un nuovo rosario intelligente

In quello che alcuni considererebbero uno strano tentativo di interessare più persone alla religione, la Chiesa cattolica ha annunciato la scorsa settimana che sta lanciando un rosario nuovo di zecca. Il dispositivo costa poco più di $ 100 ed è attivato quando l'utente fa il segno della croce. Come avrai intuito, è accompagnato da un'applicazione mobile, che, oltre ad alcuni dati di fitness, offre alle persone numerose opzioni che li aiutano a migliorare le loro abitudini di preghiera. Apparentemente, l'obiettivo finale è quello di convincere le persone esperte di tecnologia a pregare più spesso.

Quanto sarà successo nel farlo è tempo per dirlo. Ciò che sappiamo a questo punto, tuttavia, è che chiunque abbia sviluppato il concetto non sembra avere la sicurezza molto in cima alla sua lista di priorità. I ricercatori hanno scaricato l'app immediatamente dopo l'annuncio ufficiale del 17 ottobre e in pochi minuti hanno trovato un buco di sicurezza piuttosto evidente.

La vulnerabilità di acquisizione dell'account è stata scoperta in modo indipendente da un esperto di sicurezza francese che si occupava dell'handle di Twitter @ fs0c131y e da un team di ricercatori di Fidus Information Security . Il Vaticano è stato informato immediatamente e una patch è stata rilasciata il giorno seguente. Più leggi sulla vulnerabilità, tuttavia, più ti rimane la sensazione che gli sviluppatori non abbiano davvero pensato a tutto il sistema.

Un sistema tutt'altro che perfetto per cominciare

Come quasi tutto ciò che è connesso a Internet al giorno d'oggi, l'utilizzo delle funzionalità del rosario intelligente al massimo richiede un account. Gli utenti possono accedere utilizzando i loro profili Facebook o Google oppure possono scegliere di creare un account eRosary dedicato. I problemi sono con la seconda opzione.

Invece di una password, gli utenti accedono con un codice PIN di quattro cifre. Questa è l'unica cosa che protegge i loro account e, al giorno d'oggi, semplicemente non è abbastanza forte, specialmente se si considera il fatto che, come hanno sottolineato i ricercatori di Fidus, gli sviluppatori dell'app non hanno messo alcun limite sull'API. L'unica cosa che potrebbe ostacolare i progressi degli hacker è il fatto che gli utenti sono limitati a un tentativo di accesso al minuto.

In altre parole, un attacco a forza bruta non è molto improbabile, specialmente se il cybercriminale è abbastanza determinato. Quando dai un'occhiata ad alcune delle altre caratteristiche del meccanismo di creazione dell'account, le cose iniziano a peggiorare.

Un utente non può scegliere il proprio PIN. Invece, ne ricevono uno via e-mail e devono immetterlo nell'app per continuare con la registrazione. Questa non è certo una situazione ideale per molteplici ragioni. Innanzi tutto, il fatto che i PIN volino in chiaro come testo solleva alcune domande su come sono memorizzati dall'app. E anche se ti dimentichi di questo, non puoi ignorare il fatto che l'e-mail non è mai stata considerata il mezzo di comunicazione più sicuro, specialmente quando sono coinvolti i dati di accesso. Sfortunatamente, la posta in arrivo dell'utente non era l'unico posto in cui il PIN sarebbe atterrato.

Un difetto di progettazione nell'API ha consentito l'acquisizione completa dell'account

Gli esperti hanno scoperto che dopo che gli utenti hanno inserito il loro indirizzo e-mail e fatto clic su "Avanti", hanno attivato una funzione API chiamata "resend_pin" (che, presumibilmente, viene utilizzata anche quando il PIN viene dimenticato). Ciò invierebbe il PIN all'e-mail dell'utente, comportamento previsto (se non ideale), ma lo rispedirebbe anche come risposta API, che non lo era. In altre parole, un utente malintenzionato ha avuto la possibilità di vedere il PIN senza avere accesso alla posta in arrivo dell'utente.

Potresti pensare che l'account eRosary non sia il profilo personale più importante che gli utenti possano avere e, in effetti, la mancanza di informazioni di pagamento o cose come numeri di previdenza sociale e documenti di identità rende un po 'più facile da ingoiare una potenziale violazione. Tuttavia, gli account interessati conservano ancora dettagli come numeri di telefono, date di nascita, altezza, peso, ecc., Quindi la vulnerabilità non dovrebbe essere presa alla leggera.

La patch è stata rilasciata rapidamente

Se c'è qualcosa di positivo che possiamo individuare da tutto ciò, sarebbe la reazione relativamente rapida della Chiesa. I ricercatori hanno affermato che le persone responsabili dell'app hanno agito in modo professionale e che il semplice fatto che il buco sia stato inserito entro 24 ore dalla divulgazione iniziale parla in modo esauriente di come il problema è stato gestito. Sfortunatamente, ci sono ancora alcune domande.

Gli esperti di Fidus hanno notato che il PIN in chiaro nella risposta API è stato scambiato con una stringa di 8 cifre, che è probabilmente una versione offuscata della cosa reale. Al momento, i ricercatori non sanno come decifrare l'algoritmo di offuscamento, ma il loro rapporto suggerisce che il reverse engineering potrebbe essere una questione di tempo.

Tutto sommato, dal punto di vista della sicurezza, l'ultima incursione del Vaticano nel mondo digitale è iniziata traballante. Speriamo che non diventi più scontroso.