Минулого тижня Ватикан оголосив про eRosary. Це розумна вервиця, яка працює через мобільний застосунок «Click to Pray» і коштує $ 110. Однією з переваг пристроїв IoT (інтернет речей) є те, що вони відкривають новий спосіб взаємодії людей з ресурсами. За словами Ватикана, за допомогою системи електронного щоденника люди можуть отримувати різні молитви кожен день, а також нагадування про те, коли молитися.
Дорога до спасіння, пов’язаного з інтернетом,
вимощена проблемами кібербезпеки
Але недоліком IoT-пристроїв є те, що вони також відкриті для проблем безпеки. Французький дослідник безпеки Батист Роберт виявив істотний недолік в додатку Ватикана протягом 15 хвилин. Ця уразливість дозволила б хакеру захопити обліковий запис людини, просто знаючи зареєстровану адресу електронної пошти потенційної жертви.
Роберт сказав, що зв’язався з Ватиканом, і проблема безпеки була швидко виправлена. Він сказав, що цей недолік є через те, як програма обробляє облікові дані для входу. Коли ви входите в програму «Click to Pray», ви входите через електронну пошту і замість встановлення пароля вона відправляє PIN-код на вашу поштову скриньку.
Як працювала розумна вервиця
До виправлення проблеми, додаток відправляв запити на свій сервер для надсилання вам чотиризначного PIN-коду. Проблема полягала в тому, що сам PIN-код був також відправлений по мережі. Будь-хто, аналізуючи мережевий трафік, міг побачити відповідь з відправленим PIN-кодом.
Роберт продемонстрував цю уразливість за допомогою облікового запису, який було спеціально створено. Щоразу, коли він отримував доступ до облікового запису, додаток виводив людину з системи, повідомляючи, що вона ввійшла в систему на іншому пристрої. Програма також відправила електронний лист з новим PIN-кодом, який користувач не запитував.
Отримавши доступ, Роберт зміг зробити все, що міг. Він побачив стать, зріст, вагу і день народження користувача. А також фотографію кота, яку було використано для аватара. Він також видалив цей профіль і зміг отримати доступ до нового облікового запису, який було зроблено цим користувачем.
Додаток також реєструє іншу особисту інформацію, наприклад, як часто хтось молиться, і працює як фітнес-трекер. Розумна вервиця відстежує, скільки кроків і яку відстань було пройдено за день. Android-додаток також запитує доступ до даних про місцезнаходження і керує дозволами для здійснення дзвінків.