Existe alguma coisa santa esquerda neste mundo? Uma falha de segurança é encontrada em um novo rosário inteligente
No que alguns considerariam uma tentativa estranha de atrair mais pessoas para a religião, a Igreja Católica anunciou na semana passada que está lançando um novo rosário inteligente. O dispositivo custa um pouco mais de US $ 100 e é ativado quando o usuário faz o sinal da cruz. Como você deve ter adivinhado, é acompanhado por um aplicativo móvel, que, além de alguns dados de condicionamento físico, também oferece às pessoas inúmeras opções que as ajudam a melhorar seus hábitos de oração. Aparentemente, o objetivo final é fazer com que pessoas com conhecimentos de tecnologia orem com mais frequência.
Quão bem sucedido será em fazer isso é hora de dizer. O que sabemos até agora, no entanto, é que quem desenvolveu o conceito não parecia ter segurança muito alta em sua lista de prioridades. Os pesquisadores baixaram o aplicativo imediatamente após o anúncio oficial de 17 de outubro e, em minutos, encontraram uma brecha de segurança bastante evidente.
A vulnerabilidade de aquisição de conta foi descoberta de forma independente por um especialista em segurança francês usando o Twitter handle @ fs0c131y e por uma equipe de pesquisadores da Fidus Information Security . O Vaticano foi informado imediatamente, e um patch foi lançado no dia seguinte. Quanto mais você lê sobre a vulnerabilidade, no entanto, mais fica com a sensação de que os desenvolvedores realmente não pensaram em todo o sistema.
Índice
Um sistema não-perfeito para começar
Como quase tudo conectado à Internet hoje em dia, usar os recursos do rosário inteligente ao máximo requer uma conta. Os usuários podem fazer login usando seus perfis do Facebook ou do Google, ou podem optar por criar uma conta dedicada do eRosary. Os problemas estão com a segunda opção.
Em vez de uma senha, os usuários efetuam login com um código PIN de quatro dígitos. Essa é a única coisa que protege suas contas e, atualmente, simplesmente não é forte o suficiente, especialmente quando você considera o fato de que, como os pesquisadores da Fidus apontaram, os desenvolvedores do aplicativo não impuseram nenhum limite de taxa. na API. A única coisa que pode prejudicar o progresso dos hackers é o fato de os usuários estarem restritos a uma tentativa de login por minuto.
Em outras palavras, um ataque de força bruta não é muito improvável, especialmente se o cibercriminoso estiver determinado o suficiente. No entanto, quando você examina algumas das outras características do mecanismo de criação de contas, as coisas começam a piorar.
Um usuário não consegue escolher seu próprio PIN. Em vez disso, eles recebem um por e-mail e precisam inseri-lo no aplicativo para continuar com o registro. Esta dificilmente é uma situação ideal por várias razões. Por um lado, o fato de os PINs estarem circulando em texto sem formatação levanta algumas questões sobre como eles são armazenados pelo aplicativo. E mesmo se você se esquecer disso, não poderá ignorar o fato de que o email nunca foi considerado o meio de comunicação mais seguro, especialmente quando há dados de login. Infelizmente, a caixa de entrada do usuário não era o único local onde o PIN chegaria.
Uma falha de design na API permitiu uma aquisição completa da conta
Os especialistas descobriram que, depois que os usuários digitaram seu endereço de email e clicaram em "Avançar", eles acionaram uma função de API chamada "resend_pin" (que, presumivelmente, também é usada quando o PIN é esquecido). Isso enviaria o PIN ao email do usuário, o que era esperado (se não o ideal), mas também o enviaria como uma resposta da API, o que não era. Em outras palavras, um invasor teve a chance de ver o PIN sem ter acesso à caixa de entrada do usuário.
Você pode pensar que a conta do eRosary não é o perfil pessoal mais importante que os usuários podem ter e, na verdade, a falta de informações de pagamento ou coisas como números de previdência social e documentos de identidade facilita a ingestão de uma violação potencial. No entanto, as contas afetadas ainda mantêm detalhes como números de telefone, datas de nascimento, altura, peso etc., portanto, a vulnerabilidade não deve ser tomada de ânimo leve.
O patch foi lançado rapidamente
Se houver algo de positivo que possamos destacar disso, seria a reação relativamente rápida da Igreja. Os pesquisadores disseram que as pessoas responsáveis pelo aplicativo agiram profissionalmente, e o mero fato de que o buraco foi tapado dentro de 24 horas da divulgação inicial fala muito sobre como o problema foi tratado. Infelizmente, ainda existem algumas perguntas.
Os especialistas da Fidus observaram que o PIN de texto sem formatação na resposta da API foi trocado por uma sequência de oito dígitos, o que provavelmente é uma versão ofuscada da coisa real. No momento, os pesquisadores não sabem como decifrar o algoritmo de ofuscação, mas o relatório sugere que a engenharia reversa pode ser uma questão de tempo.
Em suma, do ponto de vista da segurança, a mais recente incursão do Vaticano no mundo digital está começando de maneira instável. Vamos torcer para que não fique mais irregular.
