この世界には聖なるものが残っていますか?新しいスマートロザリオでセキュリティの欠陥が見つかりました

eRosary Security Vulnerability

より多くの人々を宗教に興味を持ってもらうための奇妙な試みと考える人たちがいる中で、カトリック教会は先週、新しいスマートなロザリオを開始することを発表しました。デバイスの価格は100ドル強で、ユーザーが十字架のサインをするとアクティブになります。ご想像のとおり、モバイルアプリケーションが付属しています。このアプリケーションは、フィットネスデータに加えて、祈りの習慣を改善するのに役立つ多くのオプションを人々に提供します。どうやら、究極の目標は、技術に精通した人々がより頻繁に祈るようにすることです。

それを行うのにどれほど成功するかは、伝える時間です。ただし、この時点でわかっていることは、このコンセプトを開発した人は誰でも、優先順位リストで非常に高いセキュリティを持っているようには見えなかったということです。研究者は10月17日の公式発表の直後にアプリをダウンロードし、数分以内にかなり目立ったセキュリティホールを見つけました。

アカウント乗っ取りの脆弱性は、Twitterのハンドル@ fs0c131yにアクセスするフランスのセキュリティ専門家とFidus Information Securityの研究者チームによって個別に発見されました。バチカンはすぐに通知を受け、翌日にパッチがリリースされました。ただし、この脆弱性についてよく読めば読むほど、開発者がシステム全体を実際に考えていないという感覚が残ります。

最初から完璧ではないシステム

最近インターネットに接続されているほとんどすべてのものと同様に、スマートロザリオの機能を最大限に使用するにはアカウントが必要です。ユーザーは、FacebookまたはGoogleのプロファイルを使用してログインするか、専用のeRosaryアカウントを作成することを選択できます。問題は2番目のオプションにあります。

パスワードの代わりに、ユーザーは4桁のPINコードでログインします。これはアカウントを保護する唯一のものであり、この日と年齢では、特にFidusの研究者が指摘したように、アプリの開発者がレート制限を設定しなかったという事実を考慮すると、十分に強力ではありませんAPIで。ハッカーの進行を妨げる可能性がある唯一のことは、ユーザーが1分あたり1回のログイン試行に制限されるという事実です。

言い換えれば、特にサイバー犯罪者が十分に決定されている場合、ブルートフォース攻撃はあまり起こりそうにありません。ただし、アカウント作成メカニズムのその他の特性をいくつか見ると、事態は悪化し始めています。

ユーザーは自分のPINを選択できません。代わりに、メールで受信し、登録を続行するにはアプリに入力する必要があります。これは、複数の理由から理想的な状況ではありません。 1つは、PINがプレーンテキストで飛び回っているという事実から、アプリによってPINがどのように保存されているかという疑問が生じます。また、このことを忘れたとしても、特にログインデータが関係する場合、電子メールが通信の最も安全な手段と見なされたことがないという事実を無視することはできません。残念ながら、PINが到着する場所はユーザーの受信トレイだけではありません。

APIの設計上の欠陥により、アカウントを完全に乗っ取ることができました。

専門家は、ユーザーが電子メールアドレスを入力して[次へ]をクリックすると、 "resend_pin"(おそらくPINを忘れたときにも使用される)というAPI関数をトリガーしたことを発見しました。これは、PINをユーザーのメールに送信しますが、これは(理想的でない場合)予想される動作ですが、API応答として返されますが、. つまり、攻撃者はユーザーの受信ボックスにアクセスせずにPINを見る機会がありました。

eRosaryアカウントは、ユーザーが持つことのできる最も重要な個人プロファイルではなく、実際、支払い情報や社会保障番号やID文書などの欠如により、潜在的な侵害が少しだけ飲み込まれやすくなると思われるかもしれません。それでも、影響を受けたアカウントには電話番号、生年月日、身長、体重などの詳細が保持されているため、この脆弱性を軽視すべきではありません。

パッチはすぐにリリースされました

これらすべてから選べる肯定的なものがあれば、それは教会の比較的迅速な反応でしょう。研究者は、アプリの責任者は専門的に行動し、最初の開示から24時間以内に穴が塞がれたという事実だけで、問題の処理方法について多くのことを語ったと述べました。残念ながら、まだいくつかの質問があります。

Fidusの専門家は、APIレスポンスのプレーンテキストPINが8桁の文字列に交換されていることに注意しました。これは本物の難読化されたバージョンである可能性があります。現時点では、研究者は難読化アルゴリズムを解読する方法を知りませんが、彼らのレポートは、リバースエンジニアリングが時間の問題になる可能性があることを示唆しています。

全体として、セキュリティの観点から、バチカンのデジタル世界への最新の進出は不安定なスタートを切っています。バンピーにならないようにしましょう。

Duran
November 20, 2019
News
日本語
November 20, 2019
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。