На минувшей неделе в Ватикане представили "умные" четки eRosary, предназначенные для привлечения молодых католиков, которые интересуются современными технологиями. К сожалению, безопасность устройства оказалась на низком уровне.
Уязвимость в приложении Click to Pray, с которым синхронизируются четки, обнаружил французский исследователь в сфере кибербезопасности по имени Батист Робер, пишет издание CNet. Из-за этой уязвимости, найденной Робером всего за 15 минут, хакеры могли легко получить доступ к учетной записи пользователя приложения, зная его адрес электронной почты.
Суть проблемы заключается в том, что для регистрации и входа в приложение Click to Pray пользователю нужно указать только свой email, а вместо пароля необходимо использовать код, присылаемый программой на указанный адрес. Однако этот код приложение запрашивало на сервере, и параллельно с отправкой в почту он пересылался с сервера на устройство в незашифрованном виде, что позволяло легко перехватить его.
Робер продемонстрировал свою находку на примере учетной записи, созданной редактором CNet. Он смог получить доступ к аккаунту и различным данным его владельца, включая пол, рост, вес и дату рождения. Также он получил доступ к информации о совершенных молитвах и пройденных шагах.
В Ватикане не ответили на запрос журналистов CNet, но Робер отметил, что оперативно уведомил представителей Католической церкви о проблеме, и уязвимость была устранена.
Напомним, гаджет eRosary представляет собой небольшие четки из 10 агатовых и гематитовых бусин и креста, в котором скрыта электронная начинка. Четки синхронизируются с приложением Click to Pray, а для активации устройства необходимо перекреститься. После запуска приложения владелец eRosary может выбрать молитву, а программа будет сохранять данные о том, как и сколько он использует четки. Также четки можно носить на запястье – устройство будет фиксировать шаги и другие показатели здоровья, как любой обычный фитнес-браслет.
Этот проект является частью программы Pope’s Worldwide Prayer Network, направленной на мобилизацию католиков по всему миру. Разработкой устройства по заказу Ватикана занималась компания GadgeTek Inc. Приобрести "умные" четки можно за 99 евро.