Умные четки Ватикана оказались уязвимы к краже данных

Проблему не стали комментировать публично, но оперативно исправили.

В инфраструктуре умных четок, выпущенных Ватиканом на прошлой неделе, обнаружили уязвимость, с помощью которой хакер мог похитить личные данные пользователя гаджета. Уязвимость нашел французский исследователь безопасности Батист Робер.

Как сообщает CNet, на поиски бага у Робера ушло порядка 15 минут. Проблема заключалась в системе авторизации: чтобы войти в мобильное приложение Click to Pray, связанное с четками, надо ввести одноразовый код, отправляемый на адрес электронной почты, указанный при первичной регистрации.

Оказалось, что коды для авторизации передаются в открытом виде без шифрования. Если злоумышленник имеет доступ к сети, к которой подключено устройство, то он может перехватить код и с его помощью авторизоваться в приложении.

Робер продемонстрировал работу уязвимости одному из редакторов CNet. Ему действительно удалось перехватить код и авторизоваться в приложении; настоящего пользователя в этот момент выбило из системы. Батист смог получить доступ к информации о дате рождения, полу, росу, весу и другим параметрам пользователя.

Кроме того, приложение Click to Pray отслеживает частоту молитв и расстояние, пройденное пользователем. Эти данные тоже были получены хакером. Также Роберу удалось удалить взломанный аккаунт и получить доступ ко второй учетке журналиста, созданной сразу после удаления первой.

Исследователь безопасности сообщил разработчикам о найденной уязвимости. Те не стали отвечать на запросы издания, но оперативно устранили уязвимость.