この世界には聖なるものが残っていますか?新しいスマートロザリオでセキュリティの欠陥が見つかりました
より多くの人々を宗教に興味を持ってもらうための奇妙な試みと考える人たちがいる中で、カトリック教会は先週、新しいスマートなロザリオを開始することを発表しました。デバイスの価格は100ドル強で、ユーザーが十字架のサインをするとアクティブになります。ご想像のとおり、モバイルアプリケーションが付属しています。このアプリケーションは、フィットネスデータに加えて、祈りの習慣を改善するのに役立つ多くのオプションを人々に提供します。どうやら、究極の目標は、技術に精通した人々がより頻繁に祈るようにすることです。
それを行うのにどれほど成功するかは、伝える時間です。ただし、この時点でわかっていることは、このコンセプトを開発した人は誰でも、優先順位リストで非常に高いセキュリティを持っているようには見えなかったということです。研究者は10月17日の公式発表の直後にアプリをダウンロードし、数分以内にかなり目立ったセキュリティホールを見つけました。
アカウント乗っ取りの脆弱性は、Twitterのハンドル@ fs0c131yにアクセスするフランスのセキュリティ専門家とFidus Information Securityの研究者チームによって個別に発見されました。バチカンはすぐに通知を受け、翌日にパッチがリリースされました。ただし、この脆弱性についてよく読めば読むほど、開発者がシステム全体を実際に考えていないという感覚が残ります。
Table of Contents
最初から完璧ではないシステム
最近インターネットに接続されているほとんどすべてのものと同様に、スマートロザリオの機能を最大限に使用するにはアカウントが必要です。ユーザーは、FacebookまたはGoogleのプロファイルを使用してログインするか、専用のeRosaryアカウントを作成することを選択できます。問題は2番目のオプションにあります。
パスワードの代わりに、ユーザーは4桁のPINコードでログインします。これはアカウントを保護する唯一のものであり、この日と年齢では、特にFidusの研究者が指摘したように、アプリの開発者がレート制限を設定しなかったという事実を考慮すると、十分に強力ではありませんAPIで。ハッカーの進行を妨げる可能性がある唯一のことは、ユーザーが1分あたり1回のログイン試行に制限されるという事実です。
言い換えれば、特にサイバー犯罪者が十分に決定されている場合、ブルートフォース攻撃はあまり起こりそうにありません。ただし、アカウント作成メカニズムのその他の特性をいくつか見ると、事態は悪化し始めています。
ユーザーは自分のPINを選択できません。代わりに、メールで受信し、登録を続行するにはアプリに入力する必要があります。これは、複数の理由から理想的な状況ではありません。 1つは、PINがプレーンテキストで飛び回っているという事実から、アプリによってPINがどのように保存されているかという疑問が生じます。また、このことを忘れたとしても、特にログインデータが関係する場合、電子メールが通信の最も安全な手段と見なされたことがないという事実を無視することはできません。残念ながら、PINが到着する場所はユーザーの受信トレイだけではありません。
APIの設計上の欠陥により、アカウントを完全に乗っ取ることができました。
専門家は、ユーザーが電子メールアドレスを入力して[次へ]をクリックすると、 "resend_pin"(おそらくPINを忘れたときにも使用される)というAPI関数をトリガーしたことを発見しました。これは、PINをユーザーのメールに送信しますが、これは(理想的でない場合)予想される動作ですが、API応答として返されますが、. つまり、攻撃者はユーザーの受信ボックスにアクセスせずにPINを見る機会がありました。
eRosaryアカウントは、ユーザーが持つことのできる最も重要な個人プロファイルではなく、実際、支払い情報や社会保障番号やID文書などの欠如により、潜在的な侵害が少しだけ飲み込まれやすくなると思われるかもしれません。それでも、影響を受けたアカウントには電話番号、生年月日、身長、体重などの詳細が保持されているため、この脆弱性を軽視すべきではありません。
パッチはすぐにリリースされました
これらすべてから選べる肯定的なものがあれば、それは教会の比較的迅速な反応でしょう。研究者は、アプリの責任者は専門的に行動し、最初の開示から24時間以内に穴が塞がれたという事実だけで、問題の処理方法について多くのことを語ったと述べました。残念ながら、まだいくつかの質問があります。
Fidusの専門家は、APIレスポンスのプレーンテキストPINが8桁の文字列に交換されていることに注意しました。これは本物の難読化されたバージョンである可能性があります。現時点では、研究者は難読化アルゴリズムを解読する方法を知りませんが、彼らのレポートは、リバースエンジニアリングが時間の問題になる可能性があることを示唆しています。
全体として、セキュリティの観点から、バチカンのデジタル世界への最新の進出は不安定なスタートを切っています。バンピーにならないようにしましょう。