Умные четки от Ватикана удалось взломать за 15 минут

Уязвимость возникла из-за особенности обработки учетных данных в приложении Click to Pray, с которым синхронизируются четки.

Пр регистрации в Click to Pray нужно указать почту, однако придумывать пароль приложение не требует. Вместо него система посылает человеку одноразовый код при каждом новом входе.

Как выяснил Робер, приложение запрашивало код у сервера, а он высылал его в незашированном виде, поэтому любой человек с доступом к сети мог завладеть кодом. Чтобы обнаружить эту уязвимость, Роберу потребовалось 15 минут.

Для проверки журналист CNET зарегистрировался в приложении, и Робер смог попасть в его аккаунт. Он получил доступ к личным данным хозяина аккаунта и смог удалить его учетную запись.

Каждый раз, когда Робер получал доступ к чужой странице, приложение выкидывало хозяина аккаунта из системы, сообщая, что тот зашел в нее с другого устройства.

В Ватикане не стали комментировать ситуацию, но уже устранили уязвимость.

Ватикан представил умные четки 16 октября. Гаджет и связанное с ним бесплатное приложение задуманы для того, чтобы помогать молодым людям изучать католические молитвы. Устройство прертавляет собой браслет из черных бусин с крестом и стоит около $110. 

Источник: rb.ru

Добавить комментарий

Next Post

В Ростове задержан подозреваемый в поджоге дома, где погибло пятеро детей

Уязвимость возникла из-за особенности обработки учетных данных в приложении Click to Pray, с которым синхронизируются четки. Пр регистрации в Click to Pray нужно указать почту, однако придумывать пароль приложение не требует. Вместо него система посылает человеку одноразовый код при каждом новом входе. Как выяснил Робер, приложение запрашивало код у сервера, а […]