Французский эксперт по киберзащите Батист Робер обнаружил крупную уязвимость в "умных" четках eRosary, представленных Ватиканом на прошлой неделе. Речь идет о мобильном приложении Click to Pray, которое служит для синхронизации браслета со смартфоном.
В Click to Pray можно найти аудиогид, эксклюзивные изображения на религиозную тематику, а также персонально подобранный молитвенный контент. По словам исследователя, ему удалось найти "дыру" в приложении Святого Престола всего за 15 минут. Она позволяет злоумышленнику перезаписать аккаунт на себя, зная лишь адрес электронной почты жертвы, и получить доступ к персональным данным.
Уязвимость возникла из-за ненадежного способа обработки учетных данных, пояснил Робер. Для входа в Click to Pray используется не пароль, а 4-значный PIN-код, который каждый раз генерируется заново и приходит на электронную почту. Специалист выяснил, что сервер Ватикана передает эти данные в незашифрованном виде, а значит, перехватить их может любой, кто проанализирует интернет-трафик.
Завладев аккаунтом, хакер получает полную свободу действий. В частности, он может узнать пол, рост, вес, дату рождения и фотографию профиля, а также удалить учетную или перерегистрировать её на себя. К этому времени уязвимость уже устранена.
Ватикан продает "умные" четки за 99 евро. Их можно носить на руке в качестве декоративного браслета, а также использовать в качестве фитнес-трекера, отслеживая пройденное за день расстояние, количество шагов и сожженных калорий.
Устройство состоит из десяти агатовых и гематитовых бусин, а также "умного" креста, в котором спрятан чип для хранения данных. Чтобы активировать eRosary и увидеть текст молитвы, пользователь должен покреститься.
