«Умные» четки от Ватикана взломали за 15 минут

Исследователь по кибербезопасности Батист Роберт обнаружил серьезную уязвимость в «умных» четках от Ватикана. Она позволяла хакерам войти в аккаунт любого пользователя, зная только привязанный email, сообщает CNET.

Обнаружение уязвимости заняло у Роберта 15 минут. По его словам, она позволяла злоумышленникам войти в аккаунт жертвы и похитить личную информацию.

Как пояснил исследователь, уязвимость существовала из-за особенностей обработки учетных данных в приложении. При регистрации в «Click to Pray» пользователи должны указать email-адрес, а вместо установки пароля сервис присылает PIN-код при каждом входе.

Проблема была в том, что приложение не просто запрашивало код у сервера, но и получало его ответом в открытом виде по сети. Таким образом любой, у кого есть доступ к сети, мог завладеть PIN-кодом.

Ради эксперимента Роберт несколько раз получил доступ к аккаунту редактора CNET. Исследователь мог видеть все данные, в том числе пол, рост, вес, день рождения и аватарку пользователя. Ватикан не ответил на запрос CNET о комментарии, однако по словам исследователя, проблему уже исправили.

16 октября Ватикан представил «умные» четки eRosary за 110 долларов, с помощью которых рассчитывает привлечь молодежь. Устройство синхронизируется с Мировой молитвенной сетью Папы и присылает пользователям разные молитвы каждый день.

Оно также напоминает о времени молитв и может работать как фитнес-трекер. Устройство собирает и передает данные о количестве пройденных шагов и расстоянии в день. eRosary оснащено шестиосевым гироскопом, Bluetooth 5.0, беспроводной зарядкой и защищено от воды и пыли по стандарту IP67.