Есть ли что-нибудь святое в этом мире? В новом умном розарии обнаружен недостаток безопасности
Что-то, что некоторые считают странной попыткой привлечь больше людей к религии, на прошлой неделе католическая церковь объявила, что запускает новый умный розарий. Устройство стоит чуть более 100 долларов, и оно активируется, когда пользователь делает знак креста. Как вы уже догадались, оно сопровождается мобильным приложением, которое, в дополнение к некоторым данным о фитнесе, также дает людям множество вариантов, которые помогают им улучшить свои молитвенные привычки. Очевидно, конечная цель - научить технически подкованных людей чаще молиться.
Насколько удачным будет это сделать, покажет время. Однако на данный момент мы знаем, что тот, кто разрабатывал концепцию, не обладал высокой безопасностью в своем списке приоритетов. Исследователи загрузили приложение сразу после официального объявления 17 октября, и через несколько минут они обнаружили довольно явную дыру в безопасности.
Уязвимость захвата учетной записи была независимо обнаружена французским экспертом по безопасности, работавшим с дескриптором Twitter @ fs0c131y, и группой исследователей из Fidus Information Security . Ватикан был немедленно проинформирован, и на следующий день был выпущен патч. Однако чем больше вы читаете об этой уязвимости, тем больше у вас возникает ощущение, что разработчики на самом деле не продумали всю систему.
Table of Contents
Неидеальная система для начала
Как и почти все, что связано с Интернетом в настоящее время, использование возможностей умного четки в полной мере требует наличия учетной записи. Пользователи могут войти в систему, используя свои профили Facebook или Google, или они могут создать отдельную учетную запись eRosary. Проблемы со вторым вариантом.
Вместо пароля пользователи входят в систему с четырехзначным PIN-кодом. Это единственное, что защищает их учетные записи, и в наше время оно просто недостаточно сильно, особенно если учесть тот факт, что, как отмечают исследователи Fidus, разработчики приложения не ставили никаких ограничений скорости по API. Единственное, что может помешать прогрессу хакеров, это то, что пользователи ограничены одной попыткой входа в систему в минуту.
Другими словами, атака грубой силой не очень вероятна, особенно если киберпреступник достаточно решителен. Однако, если взглянуть на некоторые другие характеристики механизма создания учетной записи, ситуация начинает ухудшаться.
Пользователь не может выбрать свой собственный PIN-код. Вместо этого они получают один по электронной почте, и они должны ввести его в приложение, чтобы продолжить регистрацию. Это вряд ли идеальная ситуация по нескольким причинам. Во-первых, тот факт, что PIN-коды летают в виде простого текста, вызывает некоторые вопросы о том, как они хранятся в приложении. И даже если вы забудете об этом, вы не можете игнорировать тот факт, что электронная почта никогда не считалась самым безопасным средством общения, особенно когда речь идет о данных для входа. К сожалению, входящий почтовый ящик пользователя был не единственным местом, куда попадет ПИН-код.
Недостаток дизайна в API позволил полностью захватить аккаунт
Эксперты выяснили, что после того, как пользователи ввели свой адрес электронной почты и нажали «Далее», они вызвали функцию API, называемую «resend_pin» (которая, предположительно, также используется, когда ПИН-код забыт). Это отправит PIN-код на электронную почту пользователя, что является ожидаемым (если не идеальным) поведением, но также отправит его обратно в виде ответа API, который не был. Другими словами, злоумышленник имел возможность увидеть PIN-код, не имея доступа к почтовому ящику пользователя.
Вы можете подумать, что учетная запись eRosary не самая важная личная анкета, которую могут иметь пользователи, и, действительно, отсутствие какой-либо платежной информации или таких вещей, как номера социального страхования и документы, удостоверяющие личность, делает потенциальное нарушение немного легче проглотить. Тем не менее, затронутые учетные записи по-прежнему содержат такие данные, как номера телефонов, даты рождения, рост, вес и т. Д., Поэтому уязвимость не следует воспринимать легкомысленно.
Патч был выпущен быстро
Если есть что-то позитивное, что мы можем выделить из всего этого, это будет относительно быстрой реакцией Церкви. Исследователи сказали, что люди, ответственные за приложение, действовали профессионально, и тот факт, что дыра была закрыта в течение 24 часов после первоначального раскрытия, говорит о том, как была решена проблема. К сожалению, есть еще несколько вопросов.
Эксперты Fidus отметили, что незашифрованный PIN-код в ответе API был заменен на 8-значную строку, которая, вероятно, представляет собой запутанную версию реальной вещи. На данный момент, исследователи не знают, как взломать алгоритм запутывания, но их отчет действительно предполагает, что обратное проектирование может быть вопросом времени.
В целом, с точки зрения безопасности, последнее вторжение Ватикана в цифровой мир шатко начинается. Будем надеяться, что это не становится буйнее.
