Is er nog iets heiligs in deze wereld? Er is een beveiligingsfout gevonden in een nieuwe slimme rozenkrans

eRosary Security Vulnerability

In wat sommigen een vreemde poging zouden overwegen om meer mensen geïnteresseerd te krijgen in religie, kondigde de katholieke kerk vorige week aan dat het een gloednieuwe slimme rozenkrans lanceert. Het apparaat kost iets meer dan $ 100, en het wordt geactiveerd wanneer de gebruiker het kruisteken maakt. Zoals je misschien al geraden hebt, gaat het gepaard met een mobiele applicatie, die naast sommige fitnessgegevens ook tal van opties biedt die hen helpen hun bidgewoonten te verbeteren. Blijkbaar is het ultieme doel om technisch onderlegde mensen vaker te laten bidden.

Hoe succesvol het zal zijn om dat te doen, is voor de tijd om te vertellen. Wat we op dit moment wel weten, is dat degene die het concept heeft ontwikkeld, beveiliging niet erg hoog op zijn prioriteitenlijst leek te hebben staan. Onderzoekers downloadden de app onmiddellijk na de officiële aankondiging van 17 oktober en binnen enkele minuten vonden ze een nogal opvallend beveiligingslek.

Het beveiligingslek met betrekking tot het overnemen van een account is onafhankelijk ontdekt door een Franse beveiligingsexpert van de Twitter-handle @ fs0c131y en door een team van onderzoekers van Fidus Information Security . Het Vaticaan werd onmiddellijk op de hoogte gebracht en de volgende dag werd een patch vrijgegeven. Hoe meer je leest over de kwetsbaarheid, hoe meer je achterblijft met het gevoel dat de ontwikkelaars niet echt hebben nagedacht over het hele systeem.

Een minder dan perfect systeem om mee te beginnen

Zoals bijna alles wat tegenwoordig met internet is verbonden, vereist het ten volle benutten van de functies van de slimme rozenkrans een account. Gebruikers kunnen inloggen met hun Facebook- of Google-profielen, of ze kunnen ervoor kiezen om een speciaal eRosary-account aan te maken. De problemen liggen bij de tweede optie.

In plaats van een wachtwoord loggen gebruikers in met een viercijferige pincode. Dit is het enige dat hun accounts beschermt, en tegenwoordig is het gewoon niet sterk genoeg, vooral als je bedenkt dat, zoals de onderzoekers van Fidus hebben opgemerkt, de ontwikkelaars van de app geen limiet hebben gesteld op de API. Het enige dat de voortgang van de hackers zou kunnen belemmeren, is het feit dat gebruikers beperkt zijn tot één inlogpoging per minuut.

Met andere woorden, een brute-force aanval is niet erg onwaarschijnlijk, vooral als de cybercrimineel voldoende is bepaald. Wanneer u echter naar enkele van de andere kenmerken van het mechanisme voor het maken van een account kijkt, begint het slechter te worden.

Een gebruiker mag zijn eigen pincode niet kiezen. In plaats daarvan ontvangen ze er een via e-mail en moeten ze deze in de app invoeren om door te gaan met de registratie. Dit is om meerdere redenen nauwelijks een ideale situatie. Ten eerste roept het feit dat pincodes in gewone tekst rondvliegen, vragen op over hoe ze door de app worden opgeslagen. En zelfs als u dit vergeet, kunt u niet voorbijgaan aan het feit dat e-mail nooit als het veiligste communicatiemiddel is beschouwd, vooral als het om inloggegevens gaat. Helaas was de inbox van de gebruiker niet de enige plaats waar de pincode zou komen.

Een ontwerpfout in de API maakte een volledige accountovername mogelijk

De experts kwamen erachter dat nadat gebruikers hun e-mailadres hadden ingevoerd en op "Volgende" hadden geklikt, ze een API-functie hebben geactiveerd met de naam "resend_pin" (die vermoedelijk ook wordt gebruikt wanneer de PIN wordt vergeten). Dit zou de pincode naar de e-mail van de gebruiker sturen, wat werd verwacht (zo niet ideaal) gedrag, maar het zou het ook terugsturen als een API-antwoord, wat niet. Met andere woorden, een aanvaller had de kans om de pincode te zien zonder toegang te hebben tot de inbox van de gebruiker.

Je denkt misschien dat het eRosary-account niet het belangrijkste persoonlijke profiel is dat gebruikers zouden kunnen hebben, en inderdaad, het gebrek aan betalingsinformatie of dingen zoals burgerservicenummers en identiteitsdocumenten maakt een potentiële inbreuk een beetje gemakkelijker te slikken. Desondanks bevatten de betreffende accounts nog steeds details zoals telefoonnummers, geboortedata, lengte, gewicht, enz., Dus de kwetsbaarheid moet niet lichtvaardig worden opgevat.

De patch werd snel vrijgegeven

Als we hier iets positiefs uit kunnen halen, zou dit de relatief snelle reactie van de kerk zijn. De onderzoekers zeiden dat de mensen die verantwoordelijk waren voor de app professioneel handelden, en alleen al het feit dat het gat binnen 24 uur na de eerste bekendmaking was dichtgestoken, spreekt boekdelen over hoe het probleem werd aangepakt. Helaas zijn er nog enkele vragen.

De experts van Fidus merkten op dat de platte tekst-PIN in de API-reactie is verwisseld voor een reeks van 8 cijfers, wat waarschijnlijk een onduidelijke versie van het echte werk is. Vanaf nu weten de onderzoekers niet hoe ze het obfuscation-algoritme moeten kraken, maar hun rapport suggereert wel dat reverse-engineering een kwestie van tijd kan zijn.

Al met al, vanuit veiligheidsoogpunt, begint het laatste uitstapje van het Vaticaan in de digitale wereld wankel. Laten we hopen dat het niet hobbeliger wordt.

Tegen Duran
October 22, 2019
News
Nederlands
October 22, 2019
News

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

11 days geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

18 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.