這個世界上還有聖潔的東西嗎?在新型靈巧念珠中發現安全缺陷

eRosary Security Vulnerability

為了使更多的人對宗教感興趣,有人認為這是一次奇怪的嘗試,天主教會上周宣布將推出一種全新的靈巧念珠。該設備的價格略高於100美元,當用戶做出十字架的標誌時就會激活。您可能已經猜到了,它附帶了一個移動應用程序,該應用程序除了提供一些健身數據之外,還為人們提供了許多選擇,可以幫助他們改善祈禱習慣。顯然,最終目標是讓精通技術的人們更頻繁地祈禱。

這樣做有多成功,有時間證明。但是,我們現在所知道的是,開發此概念的人似乎並不將安全性放在他們的優先列表上。研究人員在10月17日官方公告發布後立即下載了該應用程序,幾分鐘之內,他們發現了一個相當明顯的安全漏洞。

帳戶接收漏洞是由法國安全專家通過Twitter句柄@ fs0c131y和來自Fidus Information Security的一組研究人員獨立發現的。梵蒂岡立即得到通知,並在第二天發布了補丁。但是,您越了解該漏洞,您就越會感到開發人員並未真正考慮整個系統。

一個不完美的系統開始

就像當今幾乎所有連接到互聯網的東西一樣,要充分利用智能念珠的功能,需要一個帳戶。用戶可以使用其Facebook或Google個人資料登錄,或者可以選擇創建專用的eRosary帳戶。問題出在第二種選擇上。

用戶使用四位數的PIN碼代替密碼登錄。這是保護他們帳戶的唯一方法,在當今時代,它還不夠強大,尤其是當您考慮到這樣一個事實時,正如Fidus的研究人員指出的那樣,該應用程序的開發人員並未設置任何速率限制在API上。唯一會阻礙黑客前進的因素是用戶每分鐘只能進行一次登錄嘗試。

換句話說,蠻力攻擊不是很不可能,特別是如果足夠確定網絡犯罪分子的話。但是,當您查看帳戶創建機制的其他一些特徵時,情況就會變得越來越糟。

用戶無法選擇自己的PIN。相反,他們會通過電子郵件收到一封郵件,並且需要將其輸入到應用程序中才能繼續註冊。由於多種原因,這幾乎不是理想的情況。首先,PIN以純文本形式飛來飛去的事實確實引發了一些有關應用程序如何存儲它們的問題。而且,即使您忘記了這一點,也無法忽略電子郵件從未被視為最安全的通信方式這一事實,尤其是在涉及登錄數據時。不幸的是,用戶的收件箱並不是PIN登陸的唯一地方。

API中的設計缺陷允許完全帳戶接管

專家發現,在用戶輸入電子郵件地址並單擊“下一步”之後,他們觸發了一個名為“ resend_pin”的API函數(大概在忘記PIN時也會使用該函數)。這會將PIN發送到用戶的電子郵件,這是預期的行為(如果不理想的話),但是還會將其作為API響應發送回去,但並非如此. 換句話說,攻擊者有機會看到PIN,而無需訪問用戶的收件箱。

您可能會認為eRosary帳戶並不是用戶可以擁有的最重要的個人資料,並且確實,缺少任何付款信息或諸如社會保險號和身份證件之類的東西確實使得潛在的違規行為更容易被吞噬。但是,受影響的帳戶仍包含電話號碼,出生日期,身高,體重等詳細信息,因此,不應輕視此漏洞。

補丁發布迅速

如果有什麼積極的事情我們可以從中脫穎而出,那就是教會的相對迅速的反應。研究人員說,負責該應用程序的人員的行為是專業的,僅在最初披露漏洞後24小時內堵塞漏洞這一事實就說明瞭如何處理該問題。不幸的是,仍然存在一些問題。

Fidus的專家指出,API響應中的純文本PIN已被替換為8位數字的字符串,這可能是真實內容的混淆版本。截至目前,研究人員尚不知道如何破解混淆算法,但他們的報告確實表明對它進行逆向工程可能是一個時間問題。

總而言之,從安全角度來看,梵蒂岡對數字世界的最新嘗試開局不順利。希望它不會遇到任何麻煩。

October 22, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
5 + 2是什麼?