Ar šiame pasaulyje yra kažkas šventojo kairiojo? Naujame išmaniajame rožine aptinkama saugos klaida
Kai kurie laikytų keistu bandymu sudominti daugiau religijos žmonių, Katalikų bažnyčia praėjusią savaitę paskelbė, kad pradeda visiškai naują išmanųjį rožančių. Įrenginys kainuoja šiek tiek daugiau nei 100 USD, jis suaktyvinamas, kai vartotojas padaro kryžiaus ženklą. Kaip jau galėjote atspėti, prie jo pridedama ir mobilioji aplikacija, kuri, be tam tikrų kūno rengybos duomenų, žmonėms taip pat suteikia daugybę galimybių, padedančių pagerinti jų maldos įpročius. Matyt, pagrindinis tikslas yra priversti technikos išmonę žmonės melstis dažniau.
Laikas pasakyti, kaip pavyks tai padaryti. Tačiau šiuo metu mes žinome, kad kas sukūrė šią koncepciją, jų prioritetų sąraše saugumas nebuvo labai aukštas. Tyrėjai programą atsisiuntė iškart po oficialaus spalio 17 dienos pranešimo ir per kelias minutes rado gana akivaizdžią saugumo skylę.
Sąskaitų perėmimo pažeidžiamumą savarankiškai nustatė prancūzų saugumo ekspertas, einantis „Twitter“ tvarkyklės @ fs0c131y, ir „ Fidus Information Security“ tyrėjų komanda. Vatikanas buvo nedelsiant informuotas, o kitą dieną buvo išleistas pleistras. Vis dėlto, kuo daugiau perskaitysite apie pažeidžiamumą, tuo labiau liksite įsitikinę, kad kūrėjai iš tikrųjų negalvojo apie visą sistemą.
Table of Contents
Pradėti nuo mažiau nei tobulos sistemos
Kaip šiais laikais beveik viskas, kas prijungta prie interneto, norint naudotis visomis išmaniojojo rožančiaus funkcijomis, reikia turėti sąskaitą. Vartotojai gali prisijungti naudodamiesi savo „Facebook“ ar „Google“ profiliais arba gali sukurti specialią „eRosary“ paskyrą. Problemos kyla dėl antrojo varianto.
Vietoj slaptažodžio vartotojai prisijungia naudodami keturženklį PIN kodą. Tai yra vienintelis dalykas, saugantis jų paskyras, ir šiais laikais jis tiesiog nėra pakankamai stiprus, ypač kai atsižvelgiama į tai, kad, kaip pažymėjo „Fidus“ tyrėjai, programos kūrėjai nepateikė jokių ribojančių normą. API. Vienintelis dalykas, kuris gali sutrukdyti įsilaužėlių progresui, yra tas, kad vartotojams apsiribojama vienu bandymu prisijungti per minutę.
Kitaip tariant, žiaurios jėgos išpuolis nėra labai mažai tikėtinas, ypač jei kibernetinis nusikaltėlis yra pakankamai pasiryžęs. Pažvelgus į kai kurias kitas paskyros kūrimo mechanizmo ypatybes, viskas pradeda blogėti.
Vartotojas negali pasirinkti savo PIN kodo. Vietoj to, jie gauna vieną el. Paštu ir, norėdami tęsti registraciją, turi įvesti jį į programą. Vargu ar tai yra ideali situacija dėl kelių priežasčių. Viena vertus, faktas, kad PIN kodai skraido paprastu tekstu, kelia keletą klausimų apie tai, kaip programa juos saugo. Ir net pamiršę apie tai negalite nepaisyti to, kad el. Paštas niekada nebuvo laikomas saugiausia komunikacijos priemone, ypač kai naudojami prisijungimo duomenys. Deja, vartotojo gautieji nebuvo vienintelė vieta, kur bus nusiųstas PIN kodas.
Dizaino trūkumas API leido visiškai perimti sąskaitą
Ekspertai išsiaiškino, kad vartotojams įvedus savo el. Pašto adresą ir paspaudus „Kitas“, jie suaktyvino API funkciją, vadinamą „resend_pin“ (kuri, tikėtina, naudojama ir pamiršus PIN kodą). Tai atsiųstų PIN kodą į vartotojo el. Pašto adresą, kurio buvo tikėtasi (jei ne idealus), tačiau taip pat jį atsiųstų kaip API atsakymą, kuris nebuvo. Kitaip tariant, užpuolikas turėjo galimybę pamatyti PIN kodą, neturėdamas prieigos prie vartotojo pašto dėžutės.
Galite pamanyti, kad „eRosary“ sąskaita nėra svarbiausia asmeninio profilio vartotojams, ir iš tikrųjų tai, kad nėra jokios informacijos apie mokėjimą ar tokių dalykų, kaip socialinio draudimo numeriai ir asmens tapatybės dokumentai, šiek tiek lengviau praryti apie galimą pažeidimą. Nepaisant to, paveiktose paskyrose vis dar yra tokios informacijos kaip telefonų numeriai, gimimo datos, ūgis, svoris ir kt., Todėl į pažeidžiamumą nereikėtų žiūrėti švelniai.
Pleistras buvo greitai išleistas
Jei ką nors teigiamo galime išskirti iš viso to, tai būtų gana greita Bažnyčios reakcija. Tyrėjai teigė, kad žmonės, atsakingi už programą, elgėsi profesionaliai, ir vien tai, kad skylė buvo uždaryta per 24 valandas nuo pirminio atskleidimo, kalba apie tai, kaip buvo išspręsta problema. Deja, vis dar kyla keletas klausimų.
„Fidus“ ekspertai pažymėjo, kad paprastojo teksto PIN kodas API atsakyme buvo pakeistas į 8 skaitmenų eilutę, kuri greičiausiai yra užmaskuota tikrojo daikto versija. Šiuo metu tyrėjai nežino, kaip nulaužti užtemimo algoritmą, tačiau jų ataskaita rodo, kad atvirkštinis inžinerijos planavimas gali būti laiko klausimas.
Apskritai, žvelgiant iš saugumo, Vatikano naujausi įžvalgos skaitmeniniame pasaulyje yra stulbinantys. Tikėkimės, kad tai nebus daug nuobodesnė.
