Er det noe hellig igjen i denne verden? En sikkerhetsfeil blir funnet i en ny smart rosary

eRosary Security Vulnerability

I det noen vil anse som et underlig forsøk på å få flere mennesker interessert i religion, kunngjorde den katolske kirken i forrige uke at den lanserer en helt ny smart rosenkrans. Enheten koster litt over $ 100, og den aktiveres når brukeren lager tegnet på korset. Som du kanskje har gjettet, ledsages den av en mobilapplikasjon, som i tillegg til noen treningsdata også gir folk en rekke alternativer som hjelper dem å forbedre bønnevanene sine. Det endelige målet er tilsynelatende å få teknisk erfarne mennesker til å be oftere.

Hvor vellykket det vil være å gjøre det, er det på tide å fortelle. Det vi imidlertid vet på dette punktet, er at den som utviklet konseptet ikke så ut til å ha sikkerhet høyt på prioriteringslisten. Forskere lastet ned appen umiddelbart etter 17. oktober offisiell kunngjøring, og i løpet av få minutter fant de et ganske skarpt sikkerhetshull.

Sårbarheten for overtagelse av kontoen ble uavhengig oppdaget av en fransk sikkerhetsekspert som gikk av Twitter-håndtaket @ fs0c131y og av et team av forskere fra Fidus Information Security . Vatikanet ble informert umiddelbart, og en lapp ble løslatt dagen etter. Jo mer du leser om sårbarheten, desto mer sitter du igjen med følelsen av at utviklerne egentlig ikke trodde hele systemet gjennom.

Et mindre enn perfekt system til å begynne med

Som nesten alt som er koblet til internett i dag, krever det en konto å bruke funksjonene i smarte rosenkransen til det fulle. Brukere kan enten logge seg på med Facebook- eller Google-profilene sine, eller de kan velge å opprette en dedikert eRosary-konto. Problemene er med det andre alternativet.

I stedet for et passord logger brukerne seg på med en firesifret PIN-kode. Dette er det eneste som beskytter regnskapet deres, og i dag og i dag er det rett og slett ikke sterkt nok, spesielt når du vurderer det faktum at, som Fidus 'forskere påpekte, appens utviklere ikke satte noen hastighetsbegrensende på API. Det eneste som kan hemme hackernes fremgang, er det faktum at brukere er begrenset til ett påloggingsforsøk per minutt.

Et angrep med brute-force er med andre ord ikke veldig usannsynlig, spesielt hvis nettkriminellen er bestemt nok. Når du ser på noen av de andre egenskapene til mekanismen for opprettelse av kontoer, begynner ting imidlertid å bli verre.

En bruker får ikke velge sin egen PIN-kode. I stedet mottar de en via e-post, og de må legge den inn i appen for å fortsette med registreringen. Dette er neppe en ideell situasjon av flere årsaker. For det første reiser det faktum at PIN-koder flyr rundt i vanlig tekst noen spørsmål rundt hvordan de lagres av appen. Og selv om du glemmer dette, kan du ikke se bort fra at e-post aldri har vært ansett som det sikreste kommunikasjonsmidlet, spesielt ikke når innloggingsdata er involvert. Dessverre var ikke brukerens innboks det eneste stedet hvor PIN-koden skulle lande.

En designfeil i APIen tillot full overtagelse av kontoen

Ekspertene fant ut at etter at brukere skrev inn e-postadressen deres og klikket på "Neste", utløste de en API-funksjon kalt "resend_pin" (som antagelig også brukes når PIN-koden er glemt). Dette ville sende PIN-koden til brukerens e-post, som var forventet (om ikke ideell) oppførsel, men den vil også sende den tilbake som et API-svar, som ikke var. En angriper hadde med andre ord sjansen til å se PIN-koden uten å ha tilgang til brukerens innboks.

Du kan tro at eRosary-kontoen ikke er den viktigste personlige profilen brukere kan ha, og at mangelen på betalingsinformasjon eller ting som personnummer og ID-dokumenter faktisk gjør det mulig å bryte litt lettere å svelge. Likevel har de berørte kontoer fremdeles detaljer som telefonnummer, fødselsdato, høyde, vekt osv., Så sårbarheten bør ikke tas lett på.

Plasteret ble sluppet raskt

Hvis det er noe positivt vi kan skille ut alt dette, ville det være kirkens relativt raske reaksjon. Forskerne sa at personene som var ansvarlige for appen opptrådte profesjonelt, og bare det faktum at hullet ble koblet til innen 24 timer etter den første avsløringen, taler bind om hvordan problemet ble håndtert. Dessverre er det fortsatt noen spørsmål.

Fidus 'eksperter bemerket at ren tekst-PIN-koden i API-svaret er byttet ut for en 8-sifret streng, som sannsynligvis er en tilslørt versjon av den virkelige tingen. Foreløpig vet ikke forskerne hvordan de skal knekke obfuskeringsalgoritmen, men rapporten deres antyder at omvendt prosjektering kan være et spørsmål om tid.

Alt i alt, fra sikkerhetsmessig synspunkt, er Vatikanets siste forsøk inn i den digitale verden til en skjelven start. La oss håpe det ikke blir noe humpere.

October 22, 2019

Legg igjen et svar

VIKTIG! For å kunne gå videre, må du løse følgende enkle matematikk.
Please leave these two fields as is:
Hva er 6 + 3?