Finns det något heligt kvar i denna värld? En säkerhetsbrist hittas i en ny smart radband
I det som vissa skulle betrakta som ett konstigt försök att få fler människor intresserade av religion, meddelade den katolska kyrkan förra veckan att den lanserar ett helt nytt smart radband. Enheten kostar drygt 100 $ och den aktiveras när användaren gör korsets tecken. Som du kanske har gissat, åtföljs det av en mobilapplikation, som förutom vissa träningsdata också ger människor många alternativ som hjälper dem att förbättra sina bönvanor. Uppenbarligen är det slutliga målet att få teknikkyndiga människor att be ofta.
Hur framgångsrikt det blir att göra det är för tid att berätta. Vad vi emellertid vet nu är att den som utvecklade konceptet inte verkade ha säkerhet mycket högt på sin prioriteringslista. Forskare laddade ner appen omedelbart efter 17 oktober: s officiella tillkännagivande, och inom några minuter fann de ett ganska bländande säkerhetshål.
Sårbarheten för överföring av kontot upptäcktes oberoende av en fransk säkerhetsekspert som skickades av Twitterhandtaget @ fs0c131y och av ett team av forskare från Fidus Information Security . Vatikanen informerades omedelbart, och en lapp släpptes dagen efter. Ju mer du läser om sårbarheten, desto mer sitter du kvar med känslan av att utvecklarna inte riktigt tänkte hela systemet igenom.
Table of Contents
Ett mindre än perfekt system att börja med
Liksom nästan allt som är kopplat till internet idag, kräver ett konto att använda den smarta radbandens funktioner till fullo. Användare kan antingen logga in med sina Facebook- eller Google-profiler, eller de kan välja att skapa ett dedicerat eRosary-konto. Problemen är med det andra alternativet.
Istället för ett lösenord loggar användare in med en fyrsiffrig PIN-kod. Det här är det enda som skyddar sina konton, och i denna dag och ålder är det helt enkelt inte tillräckligt starkt, särskilt när man tänker på det faktum att, som Fidus forskare påpekade, appens utvecklare inte satte någon hastighetsbegränsande på API: n. Det enda som kan hämma hackarnas framsteg är det faktum att användare är begränsade till ett inloggningsförsök per minut.
Med andra ord är en brute-force-attack inte särskilt osannolik, särskilt om cyberkriminaliteten är tillräckligt bestämd. När du tittar på några av de andra egenskaperna i mekanismen för skapande av konton börjar emellertid saker och ting bli värre.
En användare får inte välja sin egen PIN-kod. Istället får de en via e-post, och de måste ange den i appen för att fortsätta med registreringen. Detta är knappast en idealisk situation av flera skäl. För det första väcker det faktum att PIN-koder flyger runt i vanlig text några frågor kring hur de lagras av appen. Och även om du glömmer det här kan du inte ignorera det faktum att e-post aldrig har betraktats som det säkraste kommunikationsmedlet, särskilt när inloggningsdata är inblandade. Tyvärr var användarens inkorg inte den enda platsen där PIN-koden skulle landa.
En designfel i API tillät en fullständig kontoövertagande
Experterna fick reda på att efter att användarna skrev in sin e-postadress och klickade på "Nästa" utlöste de en API-funktion som heter "resend_pin" (som antagligen också används när PIN-koden glömts). Detta skulle skicka PIN-koden till användarens e-post, vilket förväntades (om inte idealiskt) beteende, men det skulle också skicka tillbaka det som ett API-svar, vilket inte var. Med andra ord hade en angripare chansen att se PIN-koden utan att ha tillgång till användarens inkorg.
Du kanske tror att eRosary-kontot inte är den viktigaste personliga profil som användare kan ha, och bristen på någon betalningsinformation eller saker som personnummer och ID-dokument gör att ett potentiellt överträdelse är lite lättare att svälja. Trots det har de berörda kontona fortfarande detaljer som telefonnummer, födelsedatum, höjd, vikt etc., så sårbarheten bör inte tas lätt.
Plåstret släpptes snabbt
Om det finns något positivt vi kan ta bort från allt detta, skulle det vara kyrkans relativt snabba reaktion. Forskarna sa att de ansvariga för appen agerade professionellt, och det faktum att hålet anslutits inom 24 timmar efter det första avslöjandet talar om hur problemet hanterades. Tyvärr finns det fortfarande några frågor.
Fidus 'experter konstaterade att klartext-PIN-koden i API-svaret har bytts ut för en 8-siffrig sträng, vilket troligen är en dolda version av den verkliga saken. Från och med just nu vet forskarna inte hur man knäckar obfusceringsalgoritmen, men deras rapport tyder på att omvänd teknik kan vara en fråga om tid.
Sammantaget, från säkerhetssynpunkt, är Vatikanens senaste förflyttning till den digitala världen till en skakig start. Låt oss hoppas att det inte blir något ojämnare.