Is er nog iets heiligs in deze wereld? Er is een beveiligingsfout gevonden in een nieuwe slimme rozenkrans

In wat sommigen een vreemde poging zouden overwegen om meer mensen geïnteresseerd te krijgen in religie, kondigde de katholieke kerk vorige week aan dat het een gloednieuwe slimme rozenkrans lanceert. Het apparaat kost iets meer dan $ 100, en het wordt geactiveerd wanneer de gebruiker het kruisteken maakt. Zoals je misschien al geraden hebt, gaat het gepaard met een mobiele applicatie, die naast sommige fitnessgegevens ook tal van opties biedt die hen helpen hun bidgewoonten te verbeteren. Blijkbaar is het ultieme doel om technisch onderlegde mensen vaker te laten bidden.

Hoe succesvol het zal zijn om dat te doen, is voor de tijd om te vertellen. Wat we op dit moment wel weten, is dat degene die het concept heeft ontwikkeld, beveiliging niet erg hoog op zijn prioriteitenlijst leek te hebben staan. Onderzoekers downloadden de app onmiddellijk na de officiële aankondiging van 17 oktober en binnen enkele minuten vonden ze een nogal opvallend beveiligingslek.

Het beveiligingslek met betrekking tot het overnemen van een account is onafhankelijk ontdekt door een Franse beveiligingsexpert van de Twitter-handle @ fs0c131y en door een team van onderzoekers van Fidus Information Security . Het Vaticaan werd onmiddellijk op de hoogte gebracht en de volgende dag werd een patch vrijgegeven. Hoe meer je leest over de kwetsbaarheid, hoe meer je achterblijft met het gevoel dat de ontwikkelaars niet echt hebben nagedacht over het hele systeem.

Een minder dan perfect systeem om mee te beginnen

Zoals bijna alles wat tegenwoordig met internet is verbonden, vereist het ten volle benutten van de functies van de slimme rozenkrans een account. Gebruikers kunnen inloggen met hun Facebook- of Google-profielen, of ze kunnen ervoor kiezen om een speciaal eRosary-account aan te maken. De problemen liggen bij de tweede optie.

In plaats van een wachtwoord loggen gebruikers in met een viercijferige pincode. Dit is het enige dat hun accounts beschermt, en tegenwoordig is het gewoon niet sterk genoeg, vooral als je bedenkt dat, zoals de onderzoekers van Fidus hebben opgemerkt, de ontwikkelaars van de app geen limiet hebben gesteld op de API. Het enige dat de voortgang van de hackers zou kunnen belemmeren, is het feit dat gebruikers beperkt zijn tot één inlogpoging per minuut.

Met andere woorden, een brute-force aanval is niet erg onwaarschijnlijk, vooral als de cybercrimineel voldoende is bepaald. Wanneer u echter naar enkele van de andere kenmerken van het mechanisme voor het maken van een account kijkt, begint het slechter te worden.

Een gebruiker mag zijn eigen pincode niet kiezen. In plaats daarvan ontvangen ze er een via e-mail en moeten ze deze in de app invoeren om door te gaan met de registratie. Dit is om meerdere redenen nauwelijks een ideale situatie. Ten eerste roept het feit dat pincodes in gewone tekst rondvliegen, vragen op over hoe ze door de app worden opgeslagen. En zelfs als u dit vergeet, kunt u niet voorbijgaan aan het feit dat e-mail nooit als het veiligste communicatiemiddel is beschouwd, vooral als het om inloggegevens gaat. Helaas was de inbox van de gebruiker niet de enige plaats waar de pincode zou komen.

Een ontwerpfout in de API maakte een volledige accountovername mogelijk

De experts kwamen erachter dat nadat gebruikers hun e-mailadres hadden ingevoerd en op "Volgende" hadden geklikt, ze een API-functie hebben geactiveerd met de naam "resend_pin" (die vermoedelijk ook wordt gebruikt wanneer de PIN wordt vergeten). Dit zou de pincode naar de e-mail van de gebruiker sturen, wat werd verwacht (zo niet ideaal) gedrag, maar het zou het ook terugsturen als een API-antwoord, wat niet. Met andere woorden, een aanvaller had de kans om de pincode te zien zonder toegang te hebben tot de inbox van de gebruiker.

Je denkt misschien dat het eRosary-account niet het belangrijkste persoonlijke profiel is dat gebruikers zouden kunnen hebben, en inderdaad, het gebrek aan betalingsinformatie of dingen zoals burgerservicenummers en identiteitsdocumenten maakt een potentiële inbreuk een beetje gemakkelijker te slikken. Desondanks bevatten de betreffende accounts nog steeds details zoals telefoonnummers, geboortedata, lengte, gewicht, enz., Dus de kwetsbaarheid moet niet lichtvaardig worden opgevat.

De patch werd snel vrijgegeven

Als we hier iets positiefs uit kunnen halen, zou dit de relatief snelle reactie van de kerk zijn. De onderzoekers zeiden dat de mensen die verantwoordelijk waren voor de app professioneel handelden, en alleen al het feit dat het gat binnen 24 uur na de eerste bekendmaking was dichtgestoken, spreekt boekdelen over hoe het probleem werd aangepakt. Helaas zijn er nog enkele vragen.

De experts van Fidus merkten op dat de platte tekst-PIN in de API-reactie is verwisseld voor een reeks van 8 cijfers, wat waarschijnlijk een onduidelijke versie van het echte werk is. Vanaf nu weten de onderzoekers niet hoe ze het obfuscation-algoritme moeten kraken, maar hun rapport suggereert wel dat reverse-engineering een kwestie van tijd kan zijn.

Al met al, vanuit veiligheidsoogpunt, begint het laatste uitstapje van het Vaticaan in de digitale wereld wankel. Laten we hopen dat het niet hobbeliger wordt.