Уязвимость в умных четках от Ватикана позволяла хакерам войти в аккаунт пользователя, зная только привязанную к нему электронную почту. Об этом сообщает CNET со ссылкой на специалиста по кибербезопасности Батиста Робера.
ПрисоединитьсяУязвимость возникла из-за особенности обработки учетных данных в приложении Click to Pray, с которым синхронизируются четки.
При регистрации в Click to Pray нужно указать почту, однако придумывать пароль приложение не требует. Вместо него система посылает человеку одноразовый код при каждом новом входе.
Как выяснил Робер, приложение запрашивало код у сервера, а он высылал его в незашированном виде, поэтому любой человек с доступом к сети мог завладеть кодом. Чтобы обнаружить эту уязвимость, Роберу потребовалось 15 минут.
Для проверки журналист CNET зарегистрировался в приложении, а Робер смог попасть в его аккаунт. Он получил доступ к личным данным хозяина аккаунта и смог удалить его учетную запись.
Каждый раз, когда Робер получал доступ к чужой странице, приложение выкидывало хозяина аккаунта из системы, сообщая, что тот зашел в нее с другого устройства.
В Ватикане не стали комментировать ситуацию, но уже устранили уязвимость.
Ватикан представил умные четки 16 октября. Гаджет и связанное с ним бесплатное приложение придуманы для того, чтобы помогать молодым людям изучать католические молитвы. Устройство представляет собой браслет из черных бусин с крестом и стоит около $110.
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
29 марта 2024
31 марта 2024
31 марта 2024
31 марта 2024