这个世界上还有圣洁的东西吗?在新型灵巧念珠中发现安全缺陷
天主教会上周宣布,它将推出一种全新的智能念珠,这是一种使更多人对宗教感兴趣的奇怪尝试。该设备的价格略高于100美元,当用户做出十字架的标志时就会激活。您可能已经猜到了,它附带了一个移动应用程序,该应用程序除了提供一些健身数据之外,还为人们提供了许多选择,可以帮助他们改善祈祷习惯。显然,最终目标是让精通技术的人们更频繁地祈祷。
这样做有多成功,有时间证明。但是,我们现在所知道的是,开发此概念的人似乎并不将安全性放在他们的优先列表上。研究人员在10月17日官方公告发布后立即下载了该应用程序,几分钟之内,他们发现了一个相当明显的安全漏洞。
帐户接管漏洞是由法国安全专家通过Twitter句柄@ fs0c131y和来自Fidus Information Security的一组研究人员独立发现的。梵蒂冈立即得到通知,并在第二天发布了补丁。但是,您越了解该漏洞,您就越会感到开发人员并未真正考虑整个系统。
Table of Contents
一个不完美的系统开始
就像当今几乎所有连接到互联网的东西一样,要充分利用智能念珠的功能,需要一个帐户。用户可以使用其Facebook或Google个人资料登录,或者可以选择创建专用的eRosary帐户。问题出在第二种选择上。
用户使用四位数的PIN码代替密码登录。这是保护他们帐户的唯一方法,在当今时代,它还不够强大,尤其是当您考虑到这样一个事实时,正如Fidus的研究人员指出的那样,该应用程序的开发人员并未设置任何速率限制在API上。唯一会阻碍黑客前进的因素是用户每分钟只能进行一次登录尝试。
换句话说,蛮力攻击不是很不可能,特别是如果足够确定网络犯罪分子的话。但是,当您查看帐户创建机制的其他一些特征时,情况就会变得越来越糟。
用户无法选择自己的PIN。相反,他们会通过电子邮件收到一封邮件,并且需要将其输入到应用程序中才能继续注册。由于多种原因,这几乎不是理想的情况。首先,PIN以纯文本形式飞来飞去的事实确实引发了一些有关应用程序如何存储它们的问题。而且,即使您忘记了这一点,也无法忽略电子邮件从未被视为最安全的通信方式这一事实,尤其是在涉及登录数据时。不幸的是,用户的收件箱并不是PIN登陆的唯一地方。
API中的设计缺陷允许完全帐户接管
专家发现,在用户输入电子邮件地址并单击“下一步”之后,他们触发了一个名为“ resend_pin”的API函数(大概在忘记PIN时也会使用该函数)。这会将PIN发送到用户的电子邮件,这是预期的行为(如果不理想的话),但是还会将其作为API响应发送回去,但并非如此. 换句话说,攻击者有机会看到PIN,而无需访问用户的收件箱。
您可能会认为eRosary帐户并不是用户拥有的最重要的个人资料,确实,缺少任何付款信息或诸如社会保险号和身份证件之类的东西确实使潜在的违规行为更容易被吞噬。但是,受影响的帐户仍包含电话号码,出生日期,身高,体重等详细信息,因此,不应轻视此漏洞。
补丁发布迅速
如果有什么积极的事情我们可以从中脱颖而出,那就是教会的相对迅速的反应。研究人员说,负责该应用程序的人员的行为是专业的,仅在最初披露漏洞后24小时内堵塞漏洞这一事实就说明了如何处理该问题。不幸的是,仍然存在一些问题。
Fidus的专家指出,API响应中的纯文本PIN已被替换为8位数字的字符串,这可能是真实内容的混淆版本。截至目前,研究人员尚不知道如何破解混淆算法,但他们的报告确实表明对它进行逆向工程可能是一个时间问题。
总而言之,从安全角度来看,梵蒂冈对数字世界的最新尝试开局不顺利。我们希望它不会遇到任何麻烦。