Czy na tym świecie jest jeszcze coś świętego? W nowym inteligentnym różańcu znaleziono lukę w zabezpieczeniach
W tym, co niektórzy uznaliby za dziwną próbę zwiększenia zainteresowania ludzi religią, Kościół katolicki ogłosił w zeszłym tygodniu, że wprowadza zupełnie nowy inteligentny różaniec. Urządzenie kosztuje nieco ponad 100 USD i jest aktywowane, gdy użytkownik zrobi znak krzyża. Jak można się domyślać, towarzyszy mu aplikacja mobilna, która oprócz niektórych danych fitness, daje również ludziom wiele opcji, które pomagają im poprawić nawyki modlitewne. Najwyraźniej ostatecznym celem jest zachęcenie osób znających się na technologii do częstszej modlitwy.
Czas pokaże, jak skuteczne będzie to działanie. W tym momencie wiemy jednak, że ktokolwiek opracował tę koncepcję, najwyraźniej nie miał zbyt wysokiego poziomu bezpieczeństwa na liście priorytetów. Naukowcy pobrali aplikację natychmiast po oficjalnym ogłoszeniu 17 października, aw ciągu kilku minut znaleźli dość rażącą lukę bezpieczeństwa.
Luka związana z przejęciem konta została odkryta niezależnie przez francuskiego eksperta ds. Bezpieczeństwa przy pomocy uchwytu na Twitterze @ fs0c131y oraz przez zespół naukowców z Fidus Information Security . Watykan został natychmiast poinformowany, a łatka została wydana następnego dnia. Im więcej przeczytasz o tej luce, tym bardziej masz wrażenie, że programiści tak naprawdę nie przemyśleli całego systemu.
Table of Contents
Początkowo niezbyt doskonały system
Jak prawie wszystko, co jest obecnie połączone z Internetem, pełne wykorzystanie funkcji inteligentnego różańca wymaga konta. Użytkownicy mogą logować się przy użyciu swoich profili na Facebooku lub Google lub mogą zdecydować się na utworzenie dedykowanego konta eRosary. Problemy dotyczą drugiej opcji.
Zamiast hasła użytkownicy logują się przy użyciu czterocyfrowego kodu PIN. Jest to jedyna rzecz chroniąca ich konta, a w dzisiejszych czasach po prostu nie jest wystarczająco silna, szczególnie biorąc pod uwagę fakt, że, jak zauważyli badacze Fidus, twórcy aplikacji nie wprowadzili żadnych ograniczeń na API. Jedyną rzeczą, która może hamować postęp hakerów, jest fakt, że użytkownicy są ograniczeni do jednej próby logowania na minutę.
Innymi słowy, atak brutalną siłą jest mało prawdopodobny, zwłaszcza jeśli cyberprzestępca jest wystarczająco zdeterminowany. Kiedy jednak przyjrzysz się innym cechom mechanizmu tworzenia konta, sytuacja zacznie się pogarszać.
Użytkownik nie może wybrać własnego kodu PIN. Zamiast tego otrzymują jedną pocztą e-mail i muszą wprowadzić ją do aplikacji, aby kontynuować rejestrację. Z wielu powodów nie jest to idealna sytuacja. Po pierwsze fakt, że kody PIN latają w postaci zwykłego tekstu, rodzi pytania dotyczące sposobu ich przechowywania przez aplikację. A nawet jeśli o tym zapomnisz, nie możesz zignorować faktu, że e-mail nigdy nie był uważany za najbezpieczniejszy sposób komunikacji, zwłaszcza gdy w grę wchodzą dane logowania. Niestety, skrzynka odbiorcza użytkownika nie była jedynym miejscem, w którym wylądowałby PIN.
Wada projektowa interfejsu API umożliwiła pełne przejęcie konta
Eksperci odkryli, że po wprowadzeniu adresu e-mail przez użytkowników i kliknięciu przycisku „Dalej” uruchomili funkcję API o nazwie „resend_pin” (która prawdopodobnie jest również używana w przypadku zapomnienia kodu PIN). Spowodowałoby to wysłanie kodu PIN na adres e-mail użytkownika, czego oczekiwano (jeśli nie idealne) zachowanie, ale odesłałby go również jako odpowiedź API, która nie była. Innymi słowy, osoba atakująca miała okazję zobaczyć kod PIN bez dostępu do skrzynki odbiorczej użytkownika.
Może się wydawać, że konto eRosary nie jest najważniejszym profilem osobistym, jaki mogą mieć użytkownicy, a brak informacji o płatnościach, takich jak numery ubezpieczenia społecznego i dokumenty tożsamości sprawia, że potencjalne naruszenie jest nieco łatwiejsze do przełknięcia. Niemniej jednak konta, których dotyczy problem, nadal przechowują takie dane, jak numery telefonów, daty urodzenia, wzrost, waga itp., Więc podatności na zagrożenia nie należy lekceważyć.
Łatka została wydana szybko
Jeśli jest coś pozytywnego, co możemy wyróżnić z tego wszystkiego, byłaby to stosunkowo szybka reakcja Kościoła. Naukowcy powiedzieli, że osoby odpowiedzialne za aplikację działały profesjonalnie, a sam fakt, że dziura została zatkana w ciągu 24 godzin od pierwszego ujawnienia, mówi wiele o tym, jak problem został rozwiązany. Niestety wciąż są pytania.
Eksperci Fidusa zauważyli, że zwykły kod PIN w odpowiedzi API został zamieniony na 8-cyfrowy ciąg, który prawdopodobnie jest zaciemnioną wersją prawdziwej rzeczy. W tej chwili naukowcy nie wiedzą, jak złamać algorytm zaciemniania, ale ich raport sugeruje, że inżynieria wsteczna może być kwestią czasu.
Podsumowując, z punktu widzenia bezpieczeństwa najnowsza wyprawa Watykanu do świata cyfrowego jest chwiejna. Miejmy nadzieję, że nie będzie to trudniejsze.